Avvisi per Archiviazione di Azure

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per Archiviazione di Azure da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nota

Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

avvisi di Archiviazione di Azure

Altri dettagli e note

Accesso da un'applicazione sospetta

(Storage.Blob_SuspiciousApp)

Descrizione: indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: Accesso iniziale

Gravità: alta/media

Accesso da un indirizzo IP sospetto

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Descrizione: indica che l'accesso a questo account di archiviazione è stato eseguito correttamente da un indirizzo IP considerato sospetto. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: Pre-Attacco

Gravità: alta/media/bassa

Contenuto di phishing ospitato in un account di archiviazione

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Descrizione: UN URL usato in un attacco di phishing punta all'account Archiviazione di Azure. Questo URL fa parte di un attacco di phishing inviato agli utenti di Microsoft 365. In genere, il contenuto ospitato in tali pagine è progettato per indurre i visitatori a immettere le loro credenziali aziendali o informazioni finanziarie in un modulo Web che sembra legittimo. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Raccolta

Gravità: alta

Account di archiviazione identificato come origine per la distribuzione di malware

(Storage.Files_WidespreadeAm)

Descrizione: gli avvisi antimalware indicano che uno o più file infetti vengono archiviati in una condivisione file di Azure montata in più macchine virtuali. Se gli utenti malintenzionati ottengono l'accesso a una macchina virtuale con una condivisione file di Azure montata, possono usarlo per diffondere malware in altre macchine virtuali che montano la stessa condivisione. Si applica a: File di Azure

Tattiche MITRE: Esecuzione

Gravità: medio

Il livello di accesso di un contenitore BLOB di archiviazione potenzialmente sensibile è stato modificato per consentire l'accesso pubblico non autenticato

(Storage.Blob_OpenACL)

Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che potrebbe contenere dati sensibili, a livello di "contenitore", per consentire l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. In base all'analisi statistica, il contenitore BLOB viene contrassegnato come possibilmente contenente dati sensibili. Questa analisi suggerisce che i contenitori BLOB o gli account di archiviazione con nomi simili in genere non sono esposti all'accesso pubblico. Si applica a: BLOB di Azure (account di archiviazione blob in blocchi Standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium).

Tattiche MITRE: Raccolta

Gravità: medio

Accesso autenticato da un nodo di uscita tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: accesso iniziale/pre-attacco

Gravità: alta/media

Accesso da una posizione insolita a un account di archiviazione

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Descrizione: indica che è stata apportata una modifica al modello di accesso a un account Archiviazione di Azure. Un utente ha effettuato l'accesso a questo account da un indirizzo IP considerato insolito se confrontato con l'attività recente. Un utente malintenzionato ha ottenuto l'accesso all'account oppure un utente legittimo si è connesso da una posizione geografica nuova o insolita. Un esempio di quest'ultimo caso è la manutenzione remota da una nuova applicazione o sviluppatore. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: Accesso iniziale

Gravità: alta/media/bassa

Accesso non autenticato insolito a un contenitore di archiviazione

(Storage.Blob_AnonymousAccessAnomaly)

Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure

Tattiche MITRE: Accesso iniziale

Gravità: alta/bassa

Potenziale malware caricato in un account di archiviazione

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Descrizione: indica che un BLOB contenente potenziali malware è stato caricato in un contenitore BLOB o in una condivisione file in un account di archiviazione. Questo avviso è basato sull'analisi della reputazione hash che sfrutta la potenza dell'intelligence sulle minacce Microsoft, che include hash per virus, trojan, spyware e ransomware. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un utente malintenzionato o un caricamento involontario di un BLOB potenzialmente dannoso da parte di un utente legittimo. Si applica a: Archiviazione BLOB di Azure, File di Azure (solo per le transazioni tramite l'API REST) Altre informazioni sulle funzionalità di Intelligence sulle minacce di Microsoft.

Tattiche MITRE: Movimento laterale

Gravità: alta

Individuati correttamente i contenitori di archiviazione accessibili pubblicamente

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Descrizione: l'individuazione di contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Storage Gen2

Tattiche MITRE: Raccolta

Gravità: alta/media

Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Descrizione: nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Storage Gen2

Tattiche MITRE: Raccolta

Gravità: alta/bassa

Ispezione dell'accesso insolita in un account di archiviazione

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Descrizione: indica che le autorizzazioni di accesso di un account di archiviazione sono state esaminate in modo insolito, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Individuazione

Gravità: alta/media

Quantità insolita di dati estratti da un account di archiviazione

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Descrizione: indica che è stata estratta una quantità insolitamente elevata di dati rispetto alle attività recenti in questo contenitore di archiviazione. Una possibile causa è che un utente malintenzionato ha estratto una quantità elevata di dati da un contenitore contenente l'archiviazione BLOB. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: esfiltrazione

Gravità: alta/bassa

Un'applicazione insolita ha avuto accesso a un account di archiviazione

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Descrizione: indica che un'applicazione insolita ha eseguito l'accesso a questo account di archiviazione. Una possibile causa è che un utente malintenzionato ha eseguito l'accesso all'account di archiviazione usando una nuova applicazione. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Esecuzione

Gravità: alta/media

Esplorazione insolita dei dati in un account di archiviazione

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Descrizione: indica che i BLOB o i contenitori in un account di archiviazione sono stati enumerati in modo anomalo, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Esecuzione

Gravità: alta/media

Eliminazione insolita in un account di archiviazione

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Descrizione: indica che una o più operazioni di eliminazione impreviste si sono verificate in un account di archiviazione, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eliminato i dati dall'account di archiviazione. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2

Tattiche MITRE: esfiltrazione

Gravità: alta/media

Accesso pubblico non autenticato insolito a un contenitore BLOB sensibile (anteprima)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione senza autenticazione, usando un indirizzo IP esterno (pubblico). Questo accesso è sospetto perché il contenitore BLOB è aperto all'accesso pubblico ed è in genere accessibile solo con l'autenticazione da reti interne (indirizzi IP privati). Questo accesso potrebbe indicare che il livello di accesso del contenitore BLOB non è configurato correttamente e che un attore malintenzionato potrebbe aver sfruttato l'accesso pubblico. L'avviso di sicurezza include il contesto delle informazioni riservate individuate (tempo di analisi, etichetta di classificazione, tipi di informazioni e tipi di file). Altre informazioni sul rilevamento delle minacce per i dati sensibili. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Quantità insolita di dati estratti da un contenitore BLOB sensibile (anteprima)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha estratto una quantità insolitamente elevata di dati da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: esfiltrazione

Gravità: medio

Numero insolito di BLOB estratti da un contenitore BLOB sensibile (anteprima)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha estratto un numero insolitamente elevato di BLOB da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: esfiltrazione

Accesso da un'applicazione sospetta nota a un contenitore BLOB sensibile (anteprima)

Storage.Blob_SuspiciousApp.Sensitive

Descrizione: l'avviso indica che un utente con un'applicazione sospetta nota ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione ed ha eseguito operazioni autenticate.
L'accesso potrebbe indicare che un attore di minaccia ha ottenuto le credenziali per accedere all'account di archiviazione usando un'applicazione sospetta nota. Tuttavia, l'accesso potrebbe anche indicare un test di penetrazione eseguito nell'organizzazione. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Accesso da un indirizzo IP sospetto noto a un contenitore BLOB sensibile (anteprima)

Storage.Blob_SuspiciousIp.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione da un indirizzo IP sospetto noto associato a threat intel da Microsoft Threat Intelligence. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Pre-Attacco

Gravità: alta

Accesso da un nodo di uscita tor a un contenitore BLOB sensibile (anteprima)

Storage.Blob_TorAnomaly.Sensitive

Descrizione: l'avviso indica che un utente con un indirizzo IP noto come nodo di uscita tor ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione con accesso autenticato. L'accesso autenticato da un nodo di uscita tor indica fortemente che l'attore sta tentando di rimanere anonimo per possibili finalità dannose. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Pre-Attacco

Gravità: alta

Accesso da una posizione insolita a un contenitore BLOB sensibile (anteprima)

Storage.Blob_GeoAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso al contenitore BLOB con dati sensibili nell'account di archiviazione con autenticazione da una posizione insolita. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Il livello di accesso di un contenitore BLOB di archiviazione sensibile è stato modificato per consentire l'accesso pubblico non autenticato (anteprima)

Storage.Blob_OpenACL.Sensitive

Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che contiene dati sensibili, al livello "Contenitore", che consente l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. La modifica del livello di accesso potrebbe compromettere la sicurezza dei dati. È consigliabile intervenire immediatamente per proteggere i dati e impedire l'accesso non autorizzato nel caso in cui venga attivato questo avviso. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Raccolta

Gravità: alta

Accesso esterno sospetto a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)

Storage.Blob_AccountSas.InternalSasUsedExternally

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. Questo tipo di accesso è considerato sospetto perché il token di firma di accesso condiviso viene in genere usato solo nelle reti interne (da indirizzi IP privati). L'attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente trapelato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: medio

Operazione esterna sospetta a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. L'accesso è considerato sospetto perché le operazioni richiamate all'esterno della rete (non da indirizzi IP privati) con questo token di firma di accesso condiviso vengono in genere usate per un set specifico di operazioni di lettura/scrittura/eliminazione, ma si sono verificate altre operazioni che rendono sospetto questo accesso. Questa attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o è stato accidentalmente rilevato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: medio

Token di firma di accesso condiviso insolito è stato usato per accedere a un account di archiviazione di Azure da un indirizzo IP pubblico (anteprima)

Storage.Blob_AccountSas.UnusualExternalAccess

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso dell'account. L'accesso è estremamente insolito e considerato sospetto, poiché l'accesso all'account di archiviazione usando i token di firma di accesso condiviso in genere proviene solo da indirizzi IP interni (privati). È possibile che un token di firma di accesso condiviso sia stato trapelato o generato da un attore malintenzionato dall'interno dell'organizzazione o esternamente per ottenere l'accesso a questo account di archiviazione. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: Bassa

File dannoso caricato nell'account di archiviazione

Storage.Blob_AM. MalwareFound

Descrizione: l'avviso indica che un BLOB dannoso è stato caricato in un account di archiviazione. Questo avviso di sicurezza viene generato dalla funzionalità Analisi malware in Defender per Archiviazione. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un attore di minaccia o un caricamento involontario di un file dannoso da parte di un utente legittimo. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità analisi malware abilitata.

Tattiche MITRE: Movimento laterale

Gravità: alta

BLOB dannoso è stato scaricato da un account di archiviazione (anteprima)

Storage.Blob_MalwareDownload

Descrizione: l'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o a un download involontario del malware da parte di utenti o applicazioni legittimi. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Storage Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per archiviazione con la funzionalità analisi malware abilitata.

Tattiche MITRE: Movimento laterale

Gravità: alta, se Eicar - bassa

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi

• Avvisi di sicurezza in Microsoft Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
• Esportazione continua dei dati di Defender per il cloud