Waarschuwingen voor Azure Cosmos DB
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk krijgt voor Azure Cosmos DB vanuit Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Azure Cosmos DB-waarschuwingen
Extra informatie en opmerkingen
Toegang vanaf een Tor-afsluitknooppunt
(CosmosDB_TorAnomaly)
Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor, een geanonimiseerde proxy. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen.
MITRE-tactieken: Initiële toegang
Ernst: hoog/gemiddeld
Toegang vanaf een verdacht IP-adres
(CosmosDB_SuspiciousIp)
Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat is geïdentificeerd als een bedreiging door Microsoft Threat Intelligence.
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
Toegang vanaf een ongebruikelijke locatie
(CosmosDB_GeoAnomaly)
Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een locatie die als onbekend wordt beschouwd, op basis van het gebruikelijke toegangspatroon.
Een bedreigingsacteur heeft toegang gekregen tot het account of een legitieme gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie
MITRE-tactieken: Initiële toegang
Ernst: Laag
Ongebruikelijke hoeveelheid geëxtraheerde gegevens
(CosmosDB_DataExfiltrationAnomaly)
Beschrijving: Er is een ongebruikelijk grote hoeveelheid gegevens geëxtraheerd uit dit Azure Cosmos DB-account. Dit kan erop wijzen dat een bedreigingsacteur gegevens heeft exfiltreerd.
MITRE-tactieken: Exfiltratie
Ernst: gemiddeld
Extractie van Azure Cosmos DB-accountsleutels via een mogelijk schadelijk script
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd van sleutelvermeldingsbewerkingen om de sleutels van Azure Cosmos DB-accounts in uw abonnement op te halen. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals Microburst, om sleutels weer te geven en Azure Cosmos DB-accounts te vinden die ze kunnen openen.
Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur probeert azure Cosmos DB-accounts in uw omgeving in te breken voor kwaadwillende bedoelingen.
Een kwaadwillende insider kan ook proberen toegang te krijgen tot gevoelige gegevens en laterale verplaatsingen uitvoeren.
MITRE-tactieken: Verzameling
Ernst: gemiddeld
Verdachte extractie van Azure Cosmos DB-accountsleutels (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Beschrijving: Een verdachte bron heeft toegangssleutels van uw Azure Cosmos DB-account uit uw abonnement geëxtraheerd. Als deze bron geen legitieme bron is, kan dit een groot probleem zijn. De toegangssleutel die is geëxtraheerd, biedt volledige controle over de bijbehorende databases en de gegevens die zijn opgeslagen in. Bekijk de details van elke specifieke waarschuwing om te begrijpen waarom de bron als verdacht is gemarkeerd.
MITRE-tactieken: Referentietoegang
Ernst: hoog
SQL-injectie: mogelijke gegevensexfiltratie
(CosmosDB_SqlInjection.DataExfiltratie)
Beschrijving: Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account.
De geïnjecteerde instructie kan zijn geslaagd in het exfiltreren van gegevens die de bedreigingsacteur niet gemachtigd is om toegang te krijgen.
Vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's kunnen veel bekende SQL-injectieaanvallen op Azure Cosmos DB-accounts niet werken. De variatie die in deze aanval wordt gebruikt, kan echter werken en bedreigingsactoren kunnen gegevens exfiltreren.
MITRE-tactieken: Exfiltratie
Ernst: gemiddeld
SQL-injectie: fuzzingpoging
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Beschrijving: Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account.
Net als bij andere bekende SQL-injectieaanvallen lukt deze aanval niet om het Azure Cosmos DB-account in gevaar te brengen.
Het is echter een indicatie dat een bedreigingsacteur de resources in dit account probeert aan te vallen en dat uw toepassing mogelijk is aangetast.
Sommige SQL-injectieaanvallen kunnen slagen en worden gebruikt om gegevens te exfiltreren. Dit betekent dat als de aanvaller doorgaat met het uitvoeren van SQL-injectiepogingen, mogelijk inbreuk kan maken op uw Azure Cosmos DB-account en gegevens kan exfiltreren.
U kunt deze bedreiging voorkomen met behulp van geparameteriseerde query's.
MITRE-tactiek: Pre-aanval
Ernst: Laag
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.