Waarschuwingen voor Azure Storage
Dit artikel bevat de beveiligingswaarschuwingen die u mogelijk krijgt voor Azure Storage van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Azure Storage-waarschuwingen
Extra informatie en opmerkingen
Toegang vanuit een verdachte toepassing
(Storage.Blob_SuspiciousApp)
Beschrijving: Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-tactieken: Initiële toegang
Ernst: hoog/gemiddeld
Toegang vanaf een verdacht IP-adres
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Beschrijving: Geeft aan dat dit opslagaccount is geopend vanaf een IP-adres dat als verdacht wordt beschouwd. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-tactieken: Pre Attack
Ernst: hoog/gemiddeld/laag
Phishing-inhoud die wordt gehost in een opslagaccount
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Beschrijving: Een URL die wordt gebruikt in een phishing-aanval verwijst naar uw Azure Storage-account. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. Inhoud die op dergelijke pagina's wordt gehost, is meestal zo ontworpen dat bezoekers worden verleid om hun bedrijfsreferenties of financiële gegevens in te vullen in een webformulier dat legitiem lijkt. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files
MITRE-tactieken: Verzameling
Ernst: Hoog
Opslagaccount geïdentificeerd als bron voor de distributie van malware
(Storage.Files_WidespreadeAm)
Beschrijving: Antimalwarewaarschuwingen geven aan dat een geïnfecteerd bestand(en) is opgeslagen in een Azure-bestandsshare die is gekoppeld aan meerdere VM's. Als aanvallers toegang krijgen tot een virtuele machine met een gekoppelde Azure-bestandsshare, kunnen ze deze gebruiken om malware te verspreiden naar andere VM's die dezelfde share koppelen. Van toepassing op: Azure Files
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Het toegangsniveau van een potentieel gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan
(Storage.Blob_OpenACL)
Beschrijving: De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat mogelijk gevoelige gegevens bevat, heeft gewijzigd in het niveau Container om niet-geverifieerde (anonieme) openbare toegang toe te staan. De wijziging is aangebracht via Azure Portal. Op basis van statistische analyse wordt de blobcontainer gemarkeerd als mogelijk gevoelige gegevens. Deze analyse suggereert dat blobcontainers of opslagaccounts met vergelijkbare namen doorgaans niet zichtbaar zijn voor openbare toegang. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs).
MITRE-tactieken: Verzameling
Ernst: gemiddeld
Geverifieerde toegang vanaf een Tor-afsluitknooppunt
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-tactiek: Eerste toegang/pre-aanval
Ernst: hoog/gemiddeld
Access from an unusual location to a storage account (Toegang tot een opslagaccount vanaf een ongebruikelijke locatie)
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Beschrijving: Geeft aan dat het toegangspatroon is gewijzigd in een Azure Storage-account. Iemand heeft toegang verkregen tot dit account vanaf een IP-adres dat als niet-vertrouwd wordt beschouwd in vergelijking met recente activiteiten. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-tactieken: Initiële toegang
Ernst: hoog/gemiddeld/laag
Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer
(Storage.Blob_AnonymousAccessAnomaly)
Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage
MITRE-tactieken: Initiële toegang
Ernst: hoog/laag
Potential malware uploaded to a storage account (Mogelijke malware die is geüpload naar een opslagaccount)
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Beschrijving: Geeft aan dat een blob met mogelijke malware is geüpload naar een blobcontainer of een bestandsshare in een opslagaccount. Deze waarschuwing is gebaseerd op reputatieanalyse van hashes en maakt gebruik van Microsoft-bedreigingsinformatie, waaronder hashes voor virussen, Trojaanse paarden, spyware en ransomware. Mogelijke oorzaken kunnen bestaan uit een opzettelijke malware-upload door een aanvaller of een onbedoelde upload van een mogelijk schadelijke blob door een legitieme gebruiker. Van toepassing op: Azure Blob Storage, Azure Files (alleen voor transacties via REST API) Meer informatie over de mogelijkheden voor bedreigingsinformatie van Microsoft.
MITRE-tactieken: Laterale beweging
Ernst: Hoog
Openbaar toegankelijke opslagcontainers gedetecteerd
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Beschrijving: Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma.
Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.
De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-tactieken: Verzameling
Ernst: hoog/gemiddeld
Openbaar toegankelijke opslagcontainers zijn niet gescand
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Beschrijving: Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers.
Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.
De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-tactieken: Verzameling
Ernst: hoog/laag
Unusual access inspection in a storage account (Ongebruikelijke toegangsinspectie in een opslagaccount)
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Beschrijving: Geeft aan dat de toegangsmachtigingen van een opslagaccount op een ongebruikelijke manier zijn geïnspecteerd, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files
MITRE-tactieken: Detectie
Ernst: hoog/gemiddeld
Unusual amount of data extracted from a storage account (Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een opslagaccount)
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Beschrijving: Geeft aan dat er een ongebruikelijk grote hoeveelheid gegevens is geëxtraheerd in vergelijking met recente activiteiten in deze opslagcontainer. Een mogelijke oorzaak is dat een aanvaller een grote hoeveelheid gegevens heeft geëxtraheerd uit een container met blobopslag. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-tactieken: Exfiltratie
Ernst: hoog/laag
Unusual application accessed a storage account (Ongebruikelijke toepassing heeft toegang gehad tot een opslagaccount)
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Beschrijving: Geeft aan dat een ongebruikelijke toepassing toegang heeft tot dit opslagaccount. Een mogelijke oorzaak is dat een aanvaller met een nieuwe toepassing toegang heeft gehad tot uw opslagaccount. Van toepassing op: Azure Blob Storage, Azure Files
MITRE-tactiek: uitvoering
Ernst: hoog/gemiddeld
Unusual data exploration in a storage account (Ongebruikelijke gegevensverkenning in een opslagaccount)
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Beschrijving: Geeft aan dat blobs of containers in een opslagaccount op een abnormale manier zijn geïnventariseerd in vergelijking met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files
MITRE-tactiek: uitvoering
Ernst: hoog/gemiddeld
Unusual deletion in a storage account (Ongebruikelijke verwijdering in een opslagaccount)
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Beschrijving: Geeft aan dat er een of meer onverwachte verwijderingsbewerkingen zijn opgetreden in een opslagaccount, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller gegevens uit uw opslagaccount heeft verwijderd. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-tactieken: Exfiltratie
Ernst: hoog/gemiddeld
Ongebruikelijke niet-geverifieerde openbare toegang tot een gevoelige blobcontainer (preview)
Storage.Blob_AnonymousAccessAnomaly.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount zonder verificatie, met behulp van een extern (openbaar) IP-adres. Deze toegang is verdacht omdat de blobcontainer open is voor openbare toegang en doorgaans alleen toegankelijk is met verificatie vanuit interne netwerken (privé-IP-adressen). Deze toegang kan erop wijzen dat het toegangsniveau van de blobcontainer onjuist is geconfigureerd en dat een kwaadwillende actor misbruik heeft gemaakt van de openbare toegang. De beveiligingswaarschuwing bevat de context van gedetecteerde gevoelige informatie (scantijd, classificatielabel, informatietypen en bestandstypen). Meer informatie over detectie van bedreigingen voor gevoelige gegevens. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Initiële toegang
Ernst: Hoog
Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een gevoelige blobcontainer (preview)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Beschrijving: De waarschuwing geeft aan dat iemand een ongebruikelijk grote hoeveelheid gegevens uit een blobcontainer met gevoelige gegevens in het opslagaccount heeft geëxtraheerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Exfiltratie
Ernst: gemiddeld
Ongebruikelijk aantal blobs dat is geëxtraheerd uit een gevoelige blobcontainer (preview)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Beschrijving: De waarschuwing geeft aan dat iemand een ongebruikelijk groot aantal blobs uit een blobcontainer met gevoelige gegevens in het opslagaccount heeft geëxtraheerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Exfiltratie
Toegang vanuit een bekende verdachte toepassing naar een gevoelige blobcontainer (preview)
Storage.Blob_SuspiciousApp.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand met een bekende verdachte toepassing toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount en geverifieerde bewerkingen heeft uitgevoerd.
De toegang kan erop wijzen dat een bedreigingsacteur referenties heeft verkregen voor toegang tot het opslagaccount met behulp van een bekende verdachte toepassing. De toegang kan echter ook duiden op een penetratietest die in de organisatie wordt uitgevoerd.
Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Initiële toegang
Ernst: Hoog
Toegang vanaf een bekend verdacht IP-adres naar een gevoelige blobcontainer (preview)
Storage.Blob_SuspiciousIp.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft verkregen tot een blobcontainer met gevoelige gegevens in het opslagaccount vanaf een bekend verdacht IP-adres dat is gekoppeld aan bedreigingsinformatie door Microsoft Threat Intelligence. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactiek: Pre-Attack
Ernst: Hoog
Toegang vanaf een Tor-afsluitknooppunt naar een gevoelige blobcontainer (preview)
Storage.Blob_TorAnomaly.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand met een IP-adres dat bekend staat als een Tor-afsluitknooppunt toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount met geverifieerde toegang. Geverifieerde toegang vanaf een Tor-afsluitknooppunt geeft sterk aan dat de actor anoniem probeert te blijven voor mogelijke kwaadwillende bedoelingen. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactiek: Pre-Attack
Ernst: Hoog
Toegang vanaf een ongebruikelijke locatie naar een gevoelige blobcontainer (preview)
Storage.Blob_GeoAnomaly.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft gekregen tot blobcontainer met gevoelige gegevens in het opslagaccount met verificatie vanaf een ongebruikelijke locatie. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
Het toegangsniveau van een gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan
Storage.Blob_OpenACL.Gevoelig
Beschrijving: De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat gevoelige gegevens bevat, heeft gewijzigd in het niveau Container, waardoor niet-geverifieerde (anonieme) openbare toegang mogelijk is. De wijziging is aangebracht via Azure Portal. De wijziging op toegangsniveau kan de beveiliging van de gegevens in gevaar brengen. We raden u aan onmiddellijk actie te ondernemen om de gegevens te beveiligen en onbevoegde toegang te voorkomen voor het geval deze waarschuwing wordt geactiveerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.
MITRE-tactieken: Verzameling
Ernst: Hoog
Verdachte externe toegang tot een Azure-opslagaccount met te ruim SAS-token (preview)
Storage.Blob_AccountSas.InternalSasUsedExternally
Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te ruim SAS-token met een lange vervaldatum. Dit type toegang wordt als verdacht beschouwd omdat het SAS-token doorgaans alleen wordt gebruikt in interne netwerken (van privé-IP-adressen). De activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt uit een legitieme bron. Zelfs als de toegang legitiem is, gaat het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in tegen aanbevolen beveiligingsprocedures en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.
MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact
Ernst: gemiddeld
Suspicious external operation to an Azure Storage account with overly permissive SAS token (preview)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te ruim SAS-token met een lange vervaldatum. De toegang wordt verdacht beschouwd omdat bewerkingen die buiten uw netwerk worden aangeroepen (niet van privé-IP-adressen) met dit SAS-token doorgaans worden gebruikt voor een specifieke set lees-/schrijf-/verwijderbewerkingen, maar andere bewerkingen die deze toegang verdacht maken. Deze activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt uit een legitieme bron. Zelfs als de toegang legitiem is, gaat het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in tegen aanbevolen beveiligingsprocedures en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.
MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact
Ernst: gemiddeld
Ongebruikelijk SAS-token is gebruikt voor toegang tot een Azure-opslagaccount vanaf een openbaar IP-adres (preview)
Storage.Blob_AccountSas.UnusualExternalAccess
Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een SAS-token voor het account. De toegang is zeer ongebruikelijk en wordt als verdacht beschouwd, omdat toegang tot het opslagaccount met behulp van SAS-tokens meestal alleen afkomstig is van interne (privé) IP-adressen. Het is mogelijk dat een SAS-token is gelekt of gegenereerd door een kwaadwillende actor vanuit uw organisatie of extern om toegang te krijgen tot dit opslagaccount. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.
MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact
Ernst: Laag
Schadelijk bestand geüpload naar opslagaccount
Storage.Blob_AM. MalwareFound
Beschrijving: De waarschuwing geeft aan dat een schadelijke blob is geüpload naar een opslagaccount. Deze beveiligingswaarschuwing wordt gegenereerd door de functie Malwarescan in Defender for Storage. Mogelijke oorzaken kunnen bestaan uit een opzettelijke upload van malware door een bedreigingsacteur of een onbedoelde upload van een schadelijk bestand door een legitieme gebruiker. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan waarvoor de functie Malwarescan is ingeschakeld.
MITRE-tactieken: Laterale beweging
Ernst: Hoog
Schadelijke blob is gedownload uit een opslagaccount (preview)
Storage.Blob_MalwareDownload
Beschrijving: De waarschuwing geeft aan dat een schadelijke blob is gedownload uit een opslagaccount. Mogelijke oorzaken zijn malware die is geüpload naar het opslagaccount en niet verwijderd of in quarantaine geplaatst, waardoor een bedreigingsacteur deze kan downloaden of een onbedoelde download van de malware door legitieme gebruikers of toepassingen. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan waarvoor de functie Malware scanning is ingeschakeld.
MITRE-tactieken: Laterale beweging
Ernst: Hoog, als Eicar - laag
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.