Waarschuwingen voor Azure Key Vault
Dit artikel bevat de beveiligingswaarschuwingen die u mogelijk krijgt voor Azure Key Vault van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Azure Key Vault-waarschuwingen
Extra informatie en opmerkingen
Toegang vanaf een verdacht IP-adres naar een sleutelkluis
(KV_SuspiciousIPAccess)
Beschrijving: Een sleutelkluis is geopend door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Access from a TOR exit node to a key vault (Toegang tot een sleutelkluis vanaf een Tor-afsluitknooppunt)
(KV_TORAccess)
Beschrijving: Een sleutelkluis is geopend vanaf een bekend TOR-afsluitknooppunt. Dit kan een indicatie zijn dat een aanvaller de sleutelkluis heeft geopend en het TOR-netwerk gebruikt om zijn of haar locatie te verbergen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
High volume of operations in a key vault (Grote hoeveelheid bewerkingen in een sleutelkluis)
(KV_OperationVolumeAnomaly)
Beschrijving: Er is een afwijkend aantal sleutelkluisbewerkingen uitgevoerd door een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitspatroon kan legitiem zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Suspicious policy change and secret query in a key vault (Verdachte beleidswijziging en geheime query in een sleutelkluis)
(KV_PutGetAnomaly)
Beschrijving: Een gebruiker of service-principal heeft een afwijkende kluis-wijzigingsbewerking uitgevoerd, gevolgd door een of meer geheime get-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal. Dit kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur het sleutelkluisbeleid heeft bijgewerkt voor toegang tot eerder ontoegankelijke geheimen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Suspicious secret listing and query in a key vault (Verdachte weergave van geheimen en query in een sleutelkluis)
(KV_ListGetAnomaly)
Beschrijving: Een gebruiker of service-principal heeft een afwijkende geheime lijstbewerking uitgevoerd, gevolgd door een of meer geheime get-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal en is meestal gekoppeld aan het dumpen van geheimen. Dit kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis en probeert geheimen te detecteren die kunnen worden gebruikt om lateraal door uw netwerk te gaan en/of toegang te krijgen tot gevoelige resources. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Ongebruikelijke toegang geweigerd - Gebruiker heeft toegang tot een groot aantal sleutelkluizen geweigerd
(KV_AccountVolumeAccessDeniedAnomaly)
Beschrijving: Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd toegang te krijgen tot afwijkende grote hoeveelheden sleutelkluizen. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan.
MITRE-tactieken: Detectie
Ernst: Laag
Ongebruikelijke toegang geweigerd - Ongebruikelijke gebruikerstoegang tot sleutelkluis geweigerd
(KV_UserAccessDeniedAnomaly)
Beschrijving: Een sleutelkluistoegang is geprobeerd door een gebruiker die deze normaal gesproken niet opent. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin.
MITRE-tactiek: Initiële toegang, Detectie
Ernst: Laag
Unusual application accessed a key vault (Ongebruikelijke toepassing heeft toegang gehad tot een sleutelkluis)
(KV_AppAnomaly)
Beschrijving: Een sleutelkluis is geopend door een service-principal die normaal gesproken geen toegang heeft tot de kluis. Dit afwijkende toegangspatroon kan legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen die erin zijn opgenomen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Unusual operation pattern in a key vault (Ongebruikelijk bewerkingspatroon in een sleutelkluis)
(KV_OperationPatternAnomaly)
Beschrijving: Er is een afwijkend patroon van sleutelkluisbewerkingen uitgevoerd door een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitspatroon kan legitiem zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Unusual user accessed a key vault (Ongebruikelijke gebruiker heeft toegang gekregen tot een sleutelkluis)
(KV_UserAnomaly)
Beschrijving: Een sleutelkluis is geopend door een gebruiker die deze normaal gesproken niet opent. Dit afwijkende toegangspatroon kan legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen die erin zijn opgenomen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Unusual user-application pair accessed a key vault (Ongebruikelijke combinatie van gebruiker-toepassing heeft toegang gekregen tot een sleutelkluis)
(KV_UserAppAnomaly)
Beschrijving: Een sleutelkluis is geopend door een gebruikersservice-principalpaar dat normaal gesproken geen toegang heeft. Dit afwijkende toegangspatroon kan legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen die erin zijn opgenomen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
User accessed high volume of key vaults (Gebruiker heeft groot aantal sleutelkluizen geopend)
(KV_AccountVolumeAnomaly)
Beschrijving: Een gebruiker of service-principal heeft toegang tot een afwijkend groot aantal sleutelkluizen. Dit afwijkende toegangspatroon kan legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot meerdere sleutelkluizen in een poging om toegang te krijgen tot de geheimen die erin zijn opgenomen. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Toegang geweigerd vanaf een verdacht IP-adres naar een sleutelkluis
(KV_SuspiciousIPAccessDenied)
Beschrijving: Een mislukte toegang tot de sleutelkluis is geprobeerd door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Hoewel deze poging mislukt is, geeft dit aan dat uw infrastructuur mogelijk is aangetast. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: Laag
Ongebruikelijke toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern)
(KV_UnusualAccessSuspiciousIP)
Beschrijving: Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd afwijkende toegang te krijgen tot sleutelkluizen vanaf een niet-Microsoft IP-adres. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Het kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen daarin. We raden verder onderzoek aan.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.