Elenco di riferimenti dei percorsi di attacco e dei componenti del grafico della sicurezza cloud
Questo articolo elenca i percorsi di attacco, le connessioni e le informazioni dettagliate usate in Defender Cloud Security Posture Management (CSPM).
- È necessario abilitare Defender CSPM per visualizzare i percorsi di attacco.
- Ciò che viene visualizzato nell'ambiente dipende dalle risorse protette e dalla configurazione personalizzata.
Altre informazioni sul grafico della sicurezza cloud, sull'analisi del percorso di attacco e su Cloud Security Explorer.
Percorsi di attacco
Macchine virtuali di Azure
Prerequisito: per un elenco dei prerequisiti, vedere la tabella Disponibilità per i percorsi di attacco.
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata | Una macchina virtuale è raggiungibile da Internet e presenta vulnerabilità con gravità elevata. |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e autorizzazioni elevate per una sottoscrizione | Una macchina virtuale è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e identità e autorizzazione per una sottoscrizione. |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un archivio dati con dati sensibili | Una macchina virtuale è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e autorizzazione di lettura per un archivio dati contenente dati sensibili. Prerequisito: abilitare la sicurezza compatibile con i dati per gli account di archiviazione in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un archivio dati | Una macchina virtuale è raggiungibile da Internet e presenta vulnerabilità di gravità elevata e l'autorizzazione di lettura per un archivio dati. |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un insieme di credenziali delle chiavi | Una macchina virtuale è raggiungibile da Internet e presenta vulnerabilità di gravità elevata e l'autorizzazione di lettura per un insieme di credenziali delle chiavi. |
| La macchina virtuale ha vulnerabilità con gravità elevata e l'autorizzazione elevata per una sottoscrizione | Una macchina virtuale presenta vulnerabilità con gravità elevata e dispone di autorizzazioni elevate per una sottoscrizione. |
| La macchina virtuale presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un archivio dati con dati sensibili | Una macchina virtuale presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un archivio dati contenente dati sensibili. Prerequisito: abilitare la sicurezza compatibile con i dati per gli account di archiviazione in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
| La macchina virtuale presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un insieme di credenziali delle chiavi | Una macchina virtuale presenta vulnerabilità di gravità elevata e l'autorizzazione di lettura per un insieme di credenziali delle chiavi. |
| La macchina virtuale presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un archivio dati | Una macchina virtuale presenta vulnerabilità con gravità elevata e autorizzazioni di lettura per un archivio dati. |
| La macchina virtuale esposta a Internet presenta vulnerabilità di gravità elevata e chiave privata SSH non sicura che può eseguire l'autenticazione in un'altra macchina virtuale | Una macchina virtuale di Azure è raggiungibile da Internet, presenta vulnerabilità di gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione in un'altra istanza di AWS EC2 |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e ha un segreto non sicuro usato per l'autenticazione in un server SQL | Una macchina virtuale di Azure è raggiungibile da Internet, presenta vulnerabilità di gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione in un server SQL |
| La macchina virtuale presenta vulnerabilità con gravità elevata e ha un segreto non sicuro usato per l'autenticazione in un server SQL | Una macchina virtuale di Azure presenta vulnerabilità con gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione in un server SQL |
| La macchina virtuale presenta vulnerabilità con gravità elevata e ha un segreto di testo non crittografato non sicuro usato per l'autenticazione nell'account di archiviazione | Una macchina virtuale di Azure presenta vulnerabilità con gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione a un account di archiviazione di Azure |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e ha un segreto non sicuro usato per l'autenticazione nell'account di archiviazione | Una macchina virtuale di Azure è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e ha un segreto che può eseguire l'autenticazione in un account di archiviazione di Azure |
Istanze DI AWS EC2
Prerequisito: abilitare l'analisi senza agente.
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata e autorizzazioni elevate per un account | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e dispone dell'autorizzazione per un account. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un database | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e dispone dell'autorizzazione per un database. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità di gravità elevata e l'autorizzazione di lettura per il bucket S3 | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità di gravità elevata e ha un ruolo IAM associato con l'autorizzazione a un bucket S3 tramite un criterio IAM o tramite criteri bucket o tramite criteri IAM o tramite criteri IAM e un criterio bucket. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata e l'autorizzazione di lettura per un bucket S3 con dati sensibili | Un'istanza di AWS EC2 è raggiungibile da Internet presenta vulnerabilità con gravità elevata e ha un ruolo IAM associato con l'autorizzazione a un bucket S3 contenente dati sensibili tramite un criterio IAM o tramite criteri bucket o tramite criteri IAM o tramite criteri IAM e bucket. Prerequisito: abilitare la sicurezza compatibile con i dati per i bucket S3 in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità di gravità elevata e l'autorizzazione di lettura per un Servizio di gestione delle chiavi | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e ha un ruolo IAM associato con l'autorizzazione a un Servizio di gestione delle chiavi AWS (Servizio di gestione delle chiavi) tramite un criterio IAM o tramite un Servizio di gestione delle chiavi AWS ( Servizio di gestione delle chiavi) criteri o tramite criteri IAM e criteri Servizio di gestione delle chiavi AWS. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata | Un'istanza DI AWS EC2 è raggiungibile da Internet e presenta vulnerabilità con gravità elevata. |
| L'istanza EC2 con vulnerabilità con gravità elevata dispone di autorizzazioni con privilegi elevati per un account | Un'istanza di AWS EC2 presenta vulnerabilità con gravità elevata e dispone delle autorizzazioni per un account. |
| L'istanza EC2 con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un archivio dati | Un'istanza di AWS EC2 presenta vulnerabilità di gravità elevata e ha un ruolo IAM associato che viene concesso con le autorizzazioni a un bucket S3 tramite un criterio IAM o tramite criteri bucket o tramite criteri IAM e un criterio bucket. |
| L'istanza EC2 con vulnerabilità con gravità elevata dispone di autorizzazioni di lettura per un archivio dati con dati sensibili | Un'istanza di AWS EC2 presenta vulnerabilità con gravità elevata e ha un ruolo IAM associato che viene concesso con autorizzazioni a un bucket S3 contenente dati sensibili tramite criteri IAM o tramite criteri bucket o tramite criteri IAM e bucket. Prerequisito: abilitare la sicurezza compatibile con i dati per i bucket S3 in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
| L'istanza EC2 con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per una chiave di Servizio di gestione delle chiavi | Un'istanza di AWS EC2 presenta vulnerabilità con gravità elevata e ha un ruolo IAM associato a cui vengono concesse le autorizzazioni per una chiave AWS Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) tramite un criterio IAM o tramite un Servizio di gestione delle chiavi AWS ( Servizio di gestione delle chiavi) o tramite criteri di Servizio di gestione delle chiavi IAM e AWS. |
| L'istanza EC2 esposta da Internet presenta vulnerabilità di gravità elevata e chiave privata SSH non sicura che può eseguire l'autenticazione in un'altra istanza di AWS EC2 | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità di gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione in un'altra istanza di AWS EC2 |
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata e ha un segreto non sicuro usato per l'autenticazione in una risorsa di Servizi Desktop remoto | Un'istanza di AWS EC2 è raggiungibile da Internet, presenta vulnerabilità di gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione a una risorsa DI AWS RDS |
| L'istanza EC2 presenta vulnerabilità con gravità elevata e ha un segreto non crittografato non sicuro usato per l'autenticazione in una risorsa di Servizi Desktop remoto | Un'istanza di AWS EC2 presenta vulnerabilità con gravità elevata e ha una chiave privata SSH in testo non crittografato che può eseguire l'autenticazione in una risorsa DI AWS RDS |
| L'istanza DI AWS EC2 esposta da Internet presenta vulnerabilità a gravità elevata e ha un segreto non sicuro che dispone dell'autorizzazione per il bucket S3 tramite un criterio IAM o tramite criteri bucket o tramite criteri IAM e un criterio bucket. | Un'istanza DI AWS EC2 è raggiungibile da Internet, presenta vulnerabilità con gravità elevata e ha un segreto non sicuro che dispone delle autorizzazioni per il bucket S3 tramite un criterio IAM, un criterio bucket o entrambi |
Istanze di vm GCP
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| L'istanza di macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata | L'istanza della macchina virtuale GCP '[VMInstanceName]' è raggiungibile da Internet e presenta vulnerabilità con gravità elevata [Esecuzione codice remoto]. |
| L'istanza di macchina virtuale esposta a Internet con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un archivio dati | L'istanza di macchina virtuale GCP '[VMInstanceName]' è raggiungibile da Internet, presenta vulnerabilità con gravità elevata[Esecuzione codice remoto] e dispone delle autorizzazioni di lettura per un archivio dati. |
| L'istanza di macchina virtuale esposta a Internet con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un archivio dati con dati sensibili | L'istanza della macchina virtuale GCP '[VMInstanceName]' è raggiungibile da Internet, presenta vulnerabilità di gravità elevata che consentono l'esecuzione di codice remoto nel computer e assegnate con l'account del servizio con autorizzazione di lettura per GCP Archiviazione bucket '[BucketName]' contenente dati sensibili. |
| L'istanza di macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e autorizzazioni elevate per un progetto | L'istanza di macchina virtuale GCP '[VMInstanceName]' è raggiungibile da Internet, presenta vulnerabilità con gravità elevata[Esecuzione di codice remoto] e dispone dell'autorizzazione '[Permissions]' per il progetto '[ProjectName]'. |
| L'istanza di macchina virtuale esposta a Internet con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un Secret Manager | L'istanza di macchina virtuale GCP '[VMInstanceName]' è raggiungibile da Internet, presenta vulnerabilità di gravità elevata[Esecuzione codice remoto] e dispone delle autorizzazioni di lettura tramite i criteri IAM per il segreto di GCP Secret Manager '[SecretName]'. |
| L'istanza di macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e un database ospitato installato | L'istanza di macchina virtuale GCP "[VMInstanceName]" con un database [DatabaseType] ospitato è raggiungibile da Internet e presenta vulnerabilità con gravità elevata. |
| La macchina virtuale esposta a Internet con vulnerabilità con gravità elevata presenta una chiave privata SSH in testo non crittografato | L'istanza della macchina virtuale GCP '[MachineName]' è raggiungibile da Internet, presenta vulnerabilità con gravità elevata [Esecuzione codice remoto] e ha una chiave privata SSH in testo non crittografato [SSHPrivateKey]. |
| L'istanza di macchina virtuale con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un archivio dati | L'istanza di macchina virtuale GCP "[VMInstanceName]" presenta vulnerabilità con gravità elevata[Esecuzione codice remoto] e dispone delle autorizzazioni di lettura per un archivio dati. |
| L'istanza di macchina virtuale con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un archivio dati con dati sensibili | L'istanza di macchina virtuale GCP '[VMInstanceName]' presenta vulnerabilità con gravità elevata [Esecuzione codice remoto] e dispone delle autorizzazioni di lettura per GCP Archiviazione bucket '[BucketName]' contenente dati sensibili. |
| L'istanza di macchina virtuale presenta vulnerabilità con gravità elevata e autorizzazioni elevate per un progetto | L'istanza di macchina virtuale GCP '[VMInstanceName]' presenta vulnerabilità con gravità elevata[Esecuzione codice remoto] e dispone dell'autorizzazione '[Permissions]' per il progetto '[ProjectName]'. |
| L'istanza di macchina virtuale con vulnerabilità con gravità elevata dispone delle autorizzazioni di lettura per un Secret Manager | L'istanza di macchina virtuale GCP '[VMInstanceName]' presenta vulnerabilità con gravità elevata[Esecuzione codice remoto] e dispone delle autorizzazioni di lettura tramite i criteri IAM per il segreto di GCP Secret Manager '[SecretName]'. |
| L'istanza di macchina virtuale con vulnerabilità con gravità elevata presenta una chiave privata SSH in testo non crittografato | Istanza di macchina virtuale GCP per allinearsi a tutti gli altri percorsi di attacco. La macchina virtuale '[MachineName]' presenta vulnerabilità con gravità elevata [Esecuzione di codice remoto] e ha una chiave privata SSH in testo non crittografato [SSHPrivateKey]. |
Dati di Azure
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| Sql esposto a Internet nella macchina virtuale ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nella macchina virtuale | SQL nella macchina virtuale è raggiungibile da Internet, ha un account utente locale con un nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità che consentono l'esecuzione del codice e lo spostamento laterale alla macchina virtuale sottostante. Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| Sql esposto a Internet nella macchina virtuale ha un account utente con nome utente comunemente usato e vulnerabilità note | SQL nella macchina virtuale è raggiungibile da Internet, ha un account utente locale con un nome utente comunemente usato (che è soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE). Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| SQL nella macchina virtuale ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nella macchina virtuale | SQL nella macchina virtuale ha un account utente locale con un nome utente comunemente usato (che è soggetto ad attacchi di forza bruta) e presenta vulnerabilità che consentono l'esecuzione del codice e lo spostamento laterale alla macchina virtuale sottostante. Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| SQL nella macchina virtuale ha un account utente con nome utente comune e vulnerabilità note | SQL nella macchina virtuale ha un account utente locale con un nome utente comunemente usato (che è soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE). Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| Il database gestito con un'esposizione internet eccessiva consente l'autenticazione di base (utente/password locale) | È possibile accedere al database tramite Internet da qualsiasi indirizzo IP pubblico e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone il database agli attacchi di forza bruta. |
| Il database gestito con eccessiva esposizione a Internet e dati sensibili consente l'autenticazione di base (utente locale/password) (anteprima) | È possibile accedere al database tramite Internet da qualsiasi indirizzo IP pubblico e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone un database con dati sensibili agli attacchi di forza bruta. |
| Il database gestito esposto da Internet con dati sensibili consente l'autenticazione di base (utente locale/password) (anteprima) | È possibile accedere al database tramite Internet da indirizzi IP o intervalli IP specifici e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone un database con dati sensibili ad attacchi di forza bruta. |
| La macchina virtuale esposta a Internet presenta vulnerabilità con gravità elevata e un database ospitato installato (anteprima) | Un utente malintenzionato con accesso alla rete al computer del database può sfruttare le vulnerabilità e ottenere l'esecuzione di codice remoto. |
| Il contenitore di archiviazione BLOB di Azure privato replica i dati in Internet esposti e accessibili pubblicamente nel contenitore di archiviazione BLOB di Azure | Un contenitore di archiviazione di Azure interno replica i dati in un altro contenitore di archiviazione di Azure raggiungibile da Internet e consente l'accesso pubblico e pone questi dati a rischio. |
| Internet esposto Archiviazione BLOB di Azure contenitore con dati sensibili è accessibile pubblicamente | Un contenitore di account di archiviazione BLOB con dati sensibili è raggiungibile da Internet e consente l'accesso in lettura pubblico senza autorizzazione necessaria. Prerequisito: abilitare la sicurezza compatibile con i dati per gli account di archiviazione in Defender CSPM. |
Dati AWS
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| Internet esposto aws S3 Bucket con dati sensibili è accessibile pubblicamente | Un bucket S3 con dati sensibili è raggiungibile da Internet e consente l'accesso in lettura pubblico senza autorizzazione necessaria. Prerequisito: abilitare la sicurezza compatibile con i dati per i bucket S3 in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
| Internet esposto SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nel calcolo sottostante | Internet esposto SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nel calcolo sottostante. Prerequisito: abilitare Microsoft Defender per i server SQL nei computer. |
| Internet esposto a SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e vulnerabilità note | SQL nell'istanza EC2 è raggiungibile da Internet, ha un account utente locale con un nome utente comunemente usato (che è soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE). Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nel calcolo sottostante | SQL nell'istanza EC2 ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità che consentono l'esecuzione del codice e lo spostamento laterale al calcolo sottostante. Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e vulnerabilità note | SQL nell'istanza EC2 [EC2Name] ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE). Prerequisito: Abilitare Microsoft Defender per i server SQL nei computer |
| Il database gestito con un'esposizione internet eccessiva consente l'autenticazione di base (utente/password locale) | È possibile accedere al database tramite Internet da qualsiasi indirizzo IP pubblico e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone il database agli attacchi di forza bruta. |
| Il database gestito con eccessiva esposizione a Internet e dati sensibili consente l'autenticazione di base (utente locale/password) (anteprima) | È possibile accedere al database tramite Internet da qualsiasi indirizzo IP pubblico e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone un database con dati sensibili agli attacchi di forza bruta. |
| Il database gestito esposto da Internet con dati sensibili consente l'autenticazione di base (utente locale/password) (anteprima) | È possibile accedere al database tramite Internet da indirizzi IP o intervalli IP specifici e consente l'autenticazione usando nome utente e password (meccanismo di autenticazione di base) che espone un database con dati sensibili ad attacchi di forza bruta. |
| L'istanza EC2 esposta a Internet presenta vulnerabilità con gravità elevata e un database ospitato installato (anteprima) | Un utente malintenzionato con accesso alla rete al computer del database può sfruttare le vulnerabilità e ottenere l'esecuzione di codice remoto. |
| Il bucket PRIVATO DI AWS S3 replica i dati in internet esposti e accessibili pubblicamente nel bucket AWS S3 | Un bucket DI AWS S3 interno replica i dati in un altro bucket S3 raggiungibile da Internet e consente l'accesso pubblico e pone a rischio questi dati. |
| Lo snapshot di Servizi Desktop remoto è disponibile pubblicamente per tutti gli account AWS (anteprima) | Uno snapshot di un'istanza o di un cluster di Servizi Desktop remoto è accessibile pubblicamente da tutti gli account AWS. |
| Internet esposto SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nel calcolo sottostante (anteprima) | SQL nell'istanza EC2 è raggiungibile da Internet, ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità che consentono l'esecuzione del codice e lo spostamento laterale al calcolo sottostante |
| Internet esposto a SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e vulnerabilità note (anteprima) | SQL nell'istanza EC2 è raggiungibile da Internet, ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE) |
| SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e consente l'esecuzione del codice nel calcolo sottostante (anteprima) | SQL nell'istanza EC2 ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità che consentono l'esecuzione del codice e lo spostamento laterale al calcolo sottostante |
| SQL nell'istanza EC2 ha un account utente con nome utente comunemente usato e vulnerabilità note (anteprima) | SQL nell'istanza EC2 ha un account utente locale con nome utente comunemente usato (soggetto ad attacchi di forza bruta) e presenta vulnerabilità note (CVE) |
| Il bucket PRIVATO DI AWS S3 replica i dati in internet esposti e accessibili pubblicamente nel bucket AWS S3 | Il bucket PRIVATO DI AWS S3 replica i dati in Internet esposti e accessibili pubblicamente nel bucket AWS S3 |
| Bucket PRIVATO DI AWS S3 con dati sensibili replica i dati in Internet esposti e accessibili pubblicamente tramite bucket AWS S3 | Il bucket PRIVATO DI AWS S3 con dati sensibili replica i dati in Internet esposti e accessibili pubblicamente da AWS S3 bucket |
| Lo snapshot di Servizi Desktop remoto è disponibile pubblicamente per tutti gli account AWS (anteprima) | Lo snapshot di Servizi Desktop remoto è disponibile pubblicamente per tutti gli account AWS |
Dati GCP
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| GCP Archiviazione Bucket con dati sensibili è accessibile pubblicamente | GCP Archiviazione Bucket [BucketName] con dati sensibili consente l'accesso in lettura pubblico senza autorizzazione necessaria. |
Contenitori di Azure
Prerequisito: abilitare il comportamento del contenitore senza agente. In questo modo sarà anche possibile eseguire query sui carichi di lavoro del piano dati dei contenitori in Esplora sicurezza.
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| Il pod Kubernetes esposto a Internet esegue un contenitore con vulnerabilità RCE | Un pod Kubernetes esposto a Internet in uno spazio dei nomi esegue un contenitore usando un'immagine con vulnerabilità che consentono l'esecuzione di codice remoto. |
| Il pod Kubernetes in esecuzione in un nodo esposto a Internet usa la rete host che esegue un contenitore con vulnerabilità RCE | Un pod Kubernetes in uno spazio dei nomi con accesso alla rete host abilitato viene esposto a Internet tramite la rete host. Il pod esegue un contenitore usando un'immagine con vulnerabilità che consentono l'esecuzione di codice remoto. |
Repository GitHub
Prerequisito: abilitare Defender per DevOps.
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| Il repository GitHub esposto a Internet con segreto non crittografato è accessibile pubblicamente (anteprima) | Un repository GitHub è raggiungibile da Internet, consente l'accesso in lettura pubblico senza autorizzazione necessaria e contiene segreti in testo non crittografato. |
API
Prerequisito: abilitare Defender per le API.
| Nome visualizzato del percorso di attacco | Descrizione del percorso di attacco |
|---|---|
| Le API esposte a Internet che non sono autenticate contengono dati sensibili | L'API Gestione API di Azure è raggiungibile da Internet, contiene dati sensibili e non ha alcuna autenticazione abilitata, causando attacchi che sfruttano le API per l'esfiltrazione di dati. |
Elenco dei componenti del grafico della sicurezza cloud
Questa sezione elenca tutti i componenti del grafo della sicurezza cloud (connessioni e informazioni dettagliate) che possono essere usati nelle query con Cloud Security Explorer.
Informazioni dettagliate
| Informazioni dettagliate | Descrizione | Entità supportate |
|---|---|---|
| Esposto a Internet | Indica che una risorsa è esposta a Internet. Supporta il filtro delle porte. Ulteriori informazioni | Macchina virtuale di Azure, AWS EC2, account di archiviazione di Azure, server SQL di Azure, Azure Cosmos DB, AWS S3, pod Kubernetes, Istanza gestita di SQL di Azure, server singolo MySQL di Azure, server flessibile MySQL di Azure, server singolo PostgreSQL di Azure, server flessibile di Azure PostgreSQL, server singolo di Azure MariaDB, area di lavoro synapse, istanza di RDS, istanza di macchina virtuale GCP, istanza di amministrazione di GCP SQL |
| Consente l'autenticazione di base (anteprima) | Indica che una risorsa consente l'autenticazione di base (utente/password locale o basata su chiave) | Azure SQL Server, istanza di Servizi Desktop remoto, server singolo di Azure MariaDB, server singolo di Azure MySQL, server flessibile di Azure MySQL, area di lavoro Synapse, server singolo di Azure PostgreSQL, Istanza gestita di SQL di Azure |
| Contiene dati sensibili Prerequisito: abilitare la sicurezza compatibile con i dati per gli account di archiviazione in Defender CSPM o sfruttare Microsoft Purview Data Catalog per proteggere i dati sensibili. |
Indica che una risorsa contiene dati sensibili. | Individuazione dati sensibili MDC: Archiviazione di Azure Account, Archiviazione di Azure Contenitore account, bucket AWS S3, Azure SQL Server (anteprima), database SQL di Azure (anteprima), Istanza di Servizi Desktop remoto (anteprima), Database dell'istanza di Servizi Desktop remoto (anteprima), Cluster Servizi Desktop remoto (anteprima) Individuazione dati sensibili purview (anteprima): account Archiviazione di Azure, contenitore account Archiviazione di Azure, bucket AWS S3, Azure SQL Server, database SQL di Azure, Azure Data Lake Archiviazione Gen2, Database di Azure per PostgreSQL, Database di Azure per MySQL, Azure Synapse Analytics, account Azure Cosmos DB, bucket di archiviazione cloud GCP |
| Sposta i dati in (anteprima) | Indica che una risorsa trasferisce i dati a un'altra risorsa | Archiviazione contenitore dell'account, AWS S3, istanza di AWS RDS, cluster AWS RDS |
| Ottiene i dati da (anteprima) | Indica che una risorsa ottiene i dati da un'altra risorsa | Archiviazione contenitore dell'account, AWS S3, istanza di AWS RDS, cluster AWS RDS |
| Contiene tag | Elenca i tag di risorsa della risorsa cloud | Tutte le risorse di Azure, AWS e GCP |
| Software installato | Elenca tutto il software installato nel computer. Queste informazioni dettagliate sono applicabili solo per le macchine virtuali con integrazione gestione di minacce e vulnerabilità con Defender per il cloud abilitata e connesse a Defender per il cloud. | Macchina virtuale di Azure, AWS EC2 |
| Consente l'accesso pubblico | Indica che alla risorsa è consentito l'accesso in lettura pubblico senza alcuna autorizzazione. Ulteriori informazioni | Account di archiviazione di Azure, bucket AWS S3, repository GitHub, bucket di archiviazione cloud GCP |
| Non è abilitata l'autenticazione a più fattori | Indica che l'account utente non dispone di una soluzione di autenticazione a più fattori abilitata | Account utente Microsoft Entra, utente IAM |
| Utente esterno | Indica che l'account utente non rientra nel dominio dell'organizzazione | Account utente di Microsoft Entra |
| È gestito | Indica che un'identità è gestita dal provider di servizi cloud | Identità gestita di Azure |
| Contiene nomi utente comuni | Indica che un server SQL ha account utente con nomi utente comuni che sono soggetti ad attacchi di forza bruta. | VM SQL, macchina virtuale SQL abilitata per Arc |
| Può eseguire codice nell'host | Indica che un server SQL consente l'esecuzione di codice nella macchina virtuale sottostante usando un meccanismo predefinito, ad esempio xp_cmdshell. | VM SQL, macchina virtuale SQL abilitata per Arc |
| Presenta vulnerabilità | Indica che la risorsa SQL Server presenta vulnerabilità rilevate | VM SQL, macchina virtuale SQL abilitata per Arc |
| Risultati DEASM | Gestione della superficie di attacco esterna di Microsoft Defender (DEASM) risultati dell'analisi Internet | IP pubblico |
| Contenitore con privilegi | Indica che un contenitore Kubernetes viene eseguito in modalità con privilegi | Contenitore Kubernetes |
| Usa la rete host | Indica che un pod Kubernetes usa lo spazio dei nomi di rete del computer host | Pod Kubernetes |
| Presenta vulnerabilità con gravità elevata | Indica che una risorsa presenta vulnerabilità con gravità elevata | Macchina virtuale di Azure, AWS EC2, immagine del contenitore, istanza di macchina virtuale GCP |
| Vulnerabile all'esecuzione di codice remoto | Indica che una risorsa presenta vulnerabilità che consentono l'esecuzione di codice remoto | Macchina virtuale di Azure, AWS EC2, immagine del contenitore, istanza di macchina virtuale GCP |
| Metadati IP pubblici | Elenca i metadati di un indirizzo IP pubblico | IP pubblico |
| Metadati di identità | Elenca i metadati di un'identità | Microsoft Entra Identity |
Connessioni
| Connessione | Descrizione | Tipi di entità di origine | Tipi di entità di destinazione |
|---|---|---|---|
| Può eseguire l'autenticazione come | Indica che una risorsa di Azure può eseguire l'autenticazione a un'identità e usarne i privilegi | Macchina virtuale di Azure, set di scalabilità di macchine virtuali di Azure, account Archiviazione di Azure, servizi app Azure, SQL Server | Identità gestita di Microsoft Entra |
| Dispone dell'autorizzazione per | Indica che un'identità dispone delle autorizzazioni per una risorsa o un gruppo di risorse | Account utente Microsoft Entra, identità gestita, utente IAM, istanza EC2 | Tutte le risorse di Azure & AWS |
| Contiene | Indica che l'entità di origine contiene l'entità di destinazione | Sottoscrizione di Azure, gruppo di risorse di Azure, account AWS, spazio dei nomi Kubernetes, pod Kubernetes, cluster Kubernetes, proprietario di GitHub, progetto Azure DevOps, organizzazione Azure DevOps, server SQL di Azure, cluster RDS, istanza rds, progetto GCP, cartella GCP, organizzazione GCP | Tutte le risorse di Azure, AWS e GCP, tutte le entità Kubernetes, tutte le entità DevOps, il database SQL di Azure, l'istanza di Servizi Desktop remoto, il database dell'istanza di Servizi Desktop remoto |
| Instrada il traffico a | Indica che l'entità di origine può instradare il traffico di rete all'entità di destinazione | IP pubblico, Load Balancer, VNET, Subnet, VPC, Gateway Internet, servizio Kubernetes, pod Kubernetes | VM di Azure, VMSS di Azure, AWS EC2, Subnet, Load Balancer, gateway Internet, pod Kubernetes, servizio Kubernetes, istanza di macchina virtuale GCP, gruppo di istanze GCP |
| È in esecuzione | Indica che l'entità di origine esegue l'entità di destinazione come processo | Vm di Azure, EC2, contenitore Kubernetes | SQL, SQL abilitato per Arc, MongoDB ospitato, MySQL ospitato, Oracle ospitato, PostgreSQL ospitato, SQL Server ospitato, immagine del contenitore, pod Kubernetes |
| Membro di | Indica che l'identità di origine è un membro del gruppo di identità di destinazione | Microsoft Entra group, utente di Microsoft Entra | Gruppo Microsoft Entra |
| Mantiene | Indica che l'entità Kubernetes di origine gestisce il ciclo di vita dell'entità Kubernetes di destinazione | Controller del carico di lavoro Kubernetes, set di repliche Kubernetes, set con stato Kubernetes, set di daemon Kubernetes, processi Kubernetes, processo cron kubernetes | Pod Kubernetes |