Delen via


Waarschuwingen voor Azure Storage

Dit artikel bevat de beveiligingswaarschuwingen die u mogelijk krijgt voor Azure Storage van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Notitie

Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Azure Storage-waarschuwingen

Extra informatie en opmerkingen

Toegang vanuit een verdachte toepassing

(Storage.Blob_SuspiciousApp)

Beschrijving: Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2

MITRE-tactieken: Initiële toegang

Ernst: hoog/gemiddeld

Toegang vanaf een verdacht IP-adres

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Beschrijving: Geeft aan dat dit opslagaccount is geopend vanaf een IP-adres dat als verdacht wordt beschouwd. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Pre Attack

Ernst: hoog/gemiddeld/laag

Phishing-inhoud die wordt gehost in een opslagaccount

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Beschrijving: Een URL die wordt gebruikt in een phishing-aanval verwijst naar uw Azure Storage-account. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. Inhoud die op dergelijke pagina's wordt gehost, is meestal zo ontworpen dat bezoekers worden verleid om hun bedrijfsreferenties of financiële gegevens in te vullen in een webformulier dat legitiem lijkt. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files

MITRE-tactieken: Verzameling

Ernst: Hoog

Opslagaccount geïdentificeerd als bron voor de distributie van malware

(Storage.Files_WidespreadeAm)

Beschrijving: Antimalwarewaarschuwingen geven aan dat een geïnfecteerd bestand(en) is opgeslagen in een Azure-bestandsshare die is gekoppeld aan meerdere VM's. Als aanvallers toegang krijgen tot een virtuele machine met een gekoppelde Azure-bestandsshare, kunnen ze deze gebruiken om malware te verspreiden naar andere VM's die dezelfde share koppelen. Van toepassing op: Azure Files

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Het toegangsniveau van een potentieel gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan

(Storage.Blob_OpenACL)

Beschrijving: De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat mogelijk gevoelige gegevens bevat, heeft gewijzigd in het niveau Container om niet-geverifieerde (anonieme) openbare toegang toe te staan. De wijziging is aangebracht via Azure Portal. Op basis van statistische analyse wordt de blobcontainer gemarkeerd als mogelijk gevoelige gegevens. Deze analyse suggereert dat blobcontainers of opslagaccounts met vergelijkbare namen doorgaans niet zichtbaar zijn voor openbare toegang. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs).

MITRE-tactieken: Verzameling

Ernst: gemiddeld

Geverifieerde toegang vanaf een Tor-afsluitknooppunt

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactiek: Eerste toegang/pre-aanval

Ernst: hoog/gemiddeld

Access from an unusual location to a storage account (Toegang tot een opslagaccount vanaf een ongebruikelijke locatie)

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Beschrijving: Geeft aan dat het toegangspatroon is gewijzigd in een Azure Storage-account. Iemand heeft toegang verkregen tot dit account vanaf een IP-adres dat als niet-vertrouwd wordt beschouwd in vergelijking met recente activiteiten. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Initiële toegang

Ernst: hoog/gemiddeld/laag

Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer

(Storage.Blob_AnonymousAccessAnomaly)

Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage

MITRE-tactieken: Initiële toegang

Ernst: hoog/laag

Potential malware uploaded to a storage account (Mogelijke malware die is geüpload naar een opslagaccount)

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Beschrijving: Geeft aan dat een blob met mogelijke malware is geüpload naar een blobcontainer of een bestandsshare in een opslagaccount. Deze waarschuwing is gebaseerd op reputatieanalyse van hashes en maakt gebruik van Microsoft-bedreigingsinformatie, waaronder hashes voor virussen, Trojaanse paarden, spyware en ransomware. Mogelijke oorzaken kunnen bestaan uit een opzettelijke malware-upload door een aanvaller of een onbedoelde upload van een mogelijk schadelijke blob door een legitieme gebruiker. Van toepassing op: Azure Blob Storage, Azure Files (alleen voor transacties via REST API) Meer informatie over de mogelijkheden voor bedreigingsinformatie van Microsoft.

MITRE-tactieken: Laterale beweging

Ernst: Hoog

Openbaar toegankelijke opslagcontainers gedetecteerd

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Beschrijving: Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma.

Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.

De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-tactieken: Verzameling

Ernst: hoog/gemiddeld

Openbaar toegankelijke opslagcontainers zijn niet gescand

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Beschrijving: Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers.

Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.

De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-tactieken: Verzameling

Ernst: hoog/laag

Unusual access inspection in a storage account (Ongebruikelijke toegangsinspectie in een opslagaccount)

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Beschrijving: Geeft aan dat de toegangsmachtigingen van een opslagaccount op een ongebruikelijke manier zijn geïnspecteerd, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files

MITRE-tactieken: Detectie

Ernst: hoog/gemiddeld

Unusual amount of data extracted from a storage account (Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een opslagaccount)

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Beschrijving: Geeft aan dat er een ongebruikelijk grote hoeveelheid gegevens is geëxtraheerd in vergelijking met recente activiteiten in deze opslagcontainer. Een mogelijke oorzaak is dat een aanvaller een grote hoeveelheid gegevens heeft geëxtraheerd uit een container met blobopslag. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Exfiltratie

Ernst: hoog/laag

Unusual application accessed a storage account (Ongebruikelijke toepassing heeft toegang gehad tot een opslagaccount)

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Beschrijving: Geeft aan dat een ongebruikelijke toepassing toegang heeft tot dit opslagaccount. Een mogelijke oorzaak is dat een aanvaller met een nieuwe toepassing toegang heeft gehad tot uw opslagaccount. Van toepassing op: Azure Blob Storage, Azure Files

MITRE-tactiek: uitvoering

Ernst: hoog/gemiddeld

Unusual data exploration in a storage account (Ongebruikelijke gegevensverkenning in een opslagaccount)

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Beschrijving: Geeft aan dat blobs of containers in een opslagaccount op een abnormale manier zijn geïnventariseerd in vergelijking met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files

MITRE-tactiek: uitvoering

Ernst: hoog/gemiddeld

Unusual deletion in a storage account (Ongebruikelijke verwijdering in een opslagaccount)

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Beschrijving: Geeft aan dat er een of meer onverwachte verwijderingsbewerkingen zijn opgetreden in een opslagaccount, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller gegevens uit uw opslagaccount heeft verwijderd. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Exfiltratie

Ernst: hoog/gemiddeld

Ongebruikelijke niet-geverifieerde openbare toegang tot een gevoelige blobcontainer (preview)

Storage.Blob_AnonymousAccessAnomaly.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount zonder verificatie, met behulp van een extern (openbaar) IP-adres. Deze toegang is verdacht omdat de blobcontainer open is voor openbare toegang en doorgaans alleen toegankelijk is met verificatie vanuit interne netwerken (privé-IP-adressen). Deze toegang kan erop wijzen dat het toegangsniveau van de blobcontainer onjuist is geconfigureerd en dat een kwaadwillende actor misbruik heeft gemaakt van de openbare toegang. De beveiligingswaarschuwing bevat de context van gedetecteerde gevoelige informatie (scantijd, classificatielabel, informatietypen en bestandstypen). Meer informatie over detectie van bedreigingen voor gevoelige gegevens. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Initiële toegang

Ernst: Hoog

Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een gevoelige blobcontainer (preview)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Beschrijving: De waarschuwing geeft aan dat iemand een ongebruikelijk grote hoeveelheid gegevens uit een blobcontainer met gevoelige gegevens in het opslagaccount heeft geëxtraheerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Ongebruikelijk aantal blobs dat is geëxtraheerd uit een gevoelige blobcontainer (preview)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Beschrijving: De waarschuwing geeft aan dat iemand een ongebruikelijk groot aantal blobs uit een blobcontainer met gevoelige gegevens in het opslagaccount heeft geëxtraheerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Exfiltratie

Toegang vanuit een bekende verdachte toepassing naar een gevoelige blobcontainer (preview)

Storage.Blob_SuspiciousApp.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand met een bekende verdachte toepassing toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount en geverifieerde bewerkingen heeft uitgevoerd.
De toegang kan erop wijzen dat een bedreigingsacteur referenties heeft verkregen voor toegang tot het opslagaccount met behulp van een bekende verdachte toepassing. De toegang kan echter ook duiden op een penetratietest die in de organisatie wordt uitgevoerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Initiële toegang

Ernst: Hoog

Toegang vanaf een bekend verdacht IP-adres naar een gevoelige blobcontainer (preview)

Storage.Blob_SuspiciousIp.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft verkregen tot een blobcontainer met gevoelige gegevens in het opslagaccount vanaf een bekend verdacht IP-adres dat is gekoppeld aan bedreigingsinformatie door Microsoft Threat Intelligence. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Toegang vanaf een Tor-afsluitknooppunt naar een gevoelige blobcontainer (preview)

Storage.Blob_TorAnomaly.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand met een IP-adres dat bekend staat als een Tor-afsluitknooppunt toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount met geverifieerde toegang. Geverifieerde toegang vanaf een Tor-afsluitknooppunt geeft sterk aan dat de actor anoniem probeert te blijven voor mogelijke kwaadwillende bedoelingen. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Toegang vanaf een ongebruikelijke locatie naar een gevoelige blobcontainer (preview)

Storage.Blob_GeoAnomaly.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand toegang heeft gekregen tot blobcontainer met gevoelige gegevens in het opslagaccount met verificatie vanaf een ongebruikelijke locatie. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties waarmee toegang tot dit opslagaccount is toegestaan, zijn aangetast. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Het toegangsniveau van een gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan

Storage.Blob_OpenACL.Gevoelig

Beschrijving: De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat gevoelige gegevens bevat, heeft gewijzigd in het niveau Container, waardoor niet-geverifieerde (anonieme) openbare toegang mogelijk is. De wijziging is aangebracht via Azure Portal. De wijziging op toegangsniveau kan de beveiliging van de gegevens in gevaar brengen. We raden u aan onmiddellijk actie te ondernemen om de gegevens te beveiligen en onbevoegde toegang te voorkomen voor het geval deze waarschuwing wordt geactiveerd. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan, waarbij de functie voor detectie van bedreigingen voor gegevensgevoeligheid is ingeschakeld.

MITRE-tactieken: Verzameling

Ernst: Hoog

Verdachte externe toegang tot een Azure-opslagaccount met te ruim SAS-token (preview)

Storage.Blob_AccountSas.InternalSasUsedExternally

Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te ruim SAS-token met een lange vervaldatum. Dit type toegang wordt als verdacht beschouwd omdat het SAS-token doorgaans alleen wordt gebruikt in interne netwerken (van privé-IP-adressen). De activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt uit een legitieme bron. Zelfs als de toegang legitiem is, gaat het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in tegen aanbevolen beveiligingsprocedures en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.

MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact

Ernst: gemiddeld

Suspicious external operation to an Azure Storage account with overly permissive SAS token (preview)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te ruim SAS-token met een lange vervaldatum. De toegang wordt verdacht beschouwd omdat bewerkingen die buiten uw netwerk worden aangeroepen (niet van privé-IP-adressen) met dit SAS-token doorgaans worden gebruikt voor een specifieke set lees-/schrijf-/verwijderbewerkingen, maar andere bewerkingen die deze toegang verdacht maken. Deze activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt uit een legitieme bron. Zelfs als de toegang legitiem is, gaat het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in tegen aanbevolen beveiligingsprocedures en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.

MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact

Ernst: gemiddeld

Ongebruikelijk SAS-token is gebruikt voor toegang tot een Azure-opslagaccount vanaf een openbaar IP-adres (preview)

Storage.Blob_AccountSas.UnusualExternalAccess

Beschrijving: De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een SAS-token voor het account. De toegang is zeer ongebruikelijk en wordt als verdacht beschouwd, omdat toegang tot het opslagaccount met behulp van SAS-tokens meestal alleen afkomstig is van interne (privé) IP-adressen. Het is mogelijk dat een SAS-token is gelekt of gegenereerd door een kwaadwillende actor vanuit uw organisatie of extern om toegang te krijgen tot dit opslagaccount. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement.

MITRE-tactieken: Exfiltratie/ Resourceontwikkeling/Impact

Ernst: Laag

Schadelijk bestand geüpload naar opslagaccount

Storage.Blob_AM. MalwareFound

Beschrijving: De waarschuwing geeft aan dat een schadelijke blob is geüpload naar een opslagaccount. Deze beveiligingswaarschuwing wordt gegenereerd door de functie Malwarescan in Defender for Storage. Mogelijke oorzaken kunnen bestaan uit een opzettelijke upload van malware door een bedreigingsacteur of een onbedoelde upload van een schadelijk bestand door een legitieme gebruiker. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan waarvoor de functie Malwarescan is ingeschakeld.

MITRE-tactieken: Laterale beweging

Ernst: Hoog

Schadelijke blob is gedownload uit een opslagaccount (preview)

Storage.Blob_MalwareDownload

Beschrijving: De waarschuwing geeft aan dat een schadelijke blob is gedownload uit een opslagaccount. Mogelijke oorzaken zijn malware die is geüpload naar het opslagaccount en niet verwijderd of in quarantaine geplaatst, waardoor een bedreigingsacteur deze kan downloaden of een onbedoelde download van de malware door legitieme gebruikers of toepassingen. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan waarvoor de functie Malware scanning is ingeschakeld.

MITRE-tactieken: Laterale beweging

Ernst: Hoog, als Eicar - laag

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Volgende stappen