다음을 통해 공유


Azure Cosmos DB에 대한 경고

이 문서에서는 클라우드용 Microsoft Defender Azure Cosmos DB에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.

참고 항목

Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.

이러한 경고에 대응하는 방법을 알아봅니다.

경고를 내보내는 방법을 알아봅니다.

참고 항목

다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.

Azure Cosmos DB 경고

추가 세부 정보 및 참고 사항

Tor 종료 노드에서 액세스

(CosmosDB_TorAnomaly)

설명: 이 Azure Cosmos DB 계정은 익명화 프록시인 Tor의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다.

MITRE 전술: 초기 액세스

심각도: 높음/보통

의심스러운 IP에서 액세스

(CosmosDB_SuspiciousIp)

설명: 이 Azure Cosmos DB 계정은 Microsoft Threat Intelligence의 위협으로 식별된 IP 주소에서 성공적으로 액세스되었습니다.

MITRE 전술: 초기 액세스

심각도: 보통

비정상적인 위치에서 액세스

(CosmosDB_GeoAnomaly)

설명: 이 Azure Cosmos DB 계정은 일반적인 액세스 패턴에 따라 익숙하지 않은 것으로 간주되는 위치에서 액세스되었습니다.

위협 행위자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다.

MITRE 전술: 초기 액세스

심각도: 낮음

비정상적인 데이터 볼륨이 추출됨

(CosmosDB_DataExfiltrationAnomaly)

설명: 이 Azure Cosmos DB 계정에서 비정상적으로 많은 양의 데이터가 추출되었습니다. 이는 위협 행위자가 데이터를 유출했음을 나타낼 수 있습니다.

MITRE 전술: 반출

심각도: 보통

잠재적으로 악의적인 스크립트를 통해 Azure Cosmos DB 계정 키 추출

(CosmosDB_SuspiciousListKeys.MaliciousScript)

설명: PowerShell 스크립트가 구독에서 실행되었고 구독에서 Azure Cosmos DB 계정의 키를 가져오는 의심스러운 키 목록 작업 패턴을 수행했습니다. 위협 행위자가 Microburst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 액세스할 수 있는 Azure Cosmos DB 계정을 찾습니다.

이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 사용자 환경에서 Azure Cosmos DB 계정을 손상시키려고 했음을 나타낼 수 있습니다.

또는 악의적인 내부자가 중요한 데이터에 액세스하고 횡적 이동을 수행하려고 할 수 있습니다.

MITRE 전술: 컬렉션

심각도: 보통

Azure Cosmos DB 계정 키의 의심스러운 추출

(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

설명: 의심스러운 원본이 구독에서 Azure Cosmos DB 계정 액세스 키를 추출했습니다. 이 원본이 합법적인 원본이 아니면 영향이 큰 문제일 수 있습니다. 추출된 액세스 키는 연결된 데이터베이스와 내부에 저장된 데이터에 대한 모든 권한을 제공합니다. 원본이 의심스러운 것으로 플래그가 지정된 이유를 이해하려면 각 특정 경고의 세부 정보를 참조하세요.

MITRE 전술: 자격 증명 액세스

심각도: 높음

SQL 삽입: 잠재적인 데이터 반출

(CosmosDB_SqlInjection.DataExfiltration)

설명: 의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.

삽입된 문이 위협 행위자가 액세스할 수 있는 권한이 없는 데이터를 유출하는 데 성공했을 수 있습니다.

Azure Cosmos DB 쿼리의 구조와 기능으로 인해 Azure Cosmos DB 계정에 대한 알려진 많은 SQL 삽입 공격은 작동하지 않습니다. 그러나 이 공격에 사용되는 변형이 작동할 수 있으며 위협 행위자가 데이터를 유출할 수 있습니다.

MITRE 전술: 반출

심각도: 보통

SQL 삽입: 퍼지 시도

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

설명: 의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.

잘 알려진 다른 SQL 삽입 공격과 마찬가지로 이 공격은 Azure Cosmos DB 계정을 손상시키는 데 성공하지 못합니다.

그럼에도 불구하고 위협 행위자가 이 계정의 리소스를 공격하려고 하고 애플리케이션이 손상될 수 있음을 나타냅니다.

일부 SQL 삽입 공격은 성공하고 데이터를 유출하는 데 사용할 수 있습니다. 즉, 공격자가 SQL 삽입 시도를 계속 수행하면 Azure Cosmos DB 계정을 손상하고 데이터를 유출할 수 있습니다.

매개 변수화된 쿼리를 사용하여 이 위협을 방지할 수 있습니다.

MITRE 전술: 사전 공격

심각도: 낮음

참고 항목

미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

다음 단계