Alerty dla usługi Azure Key Vault
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usługi Azure Key Vault z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty usługi Azure Key Vault
Dostęp z podejrzanego adresu IP do magazynu kluczy
(KV_SuspiciousIPAccess)
Opis: Magazyn kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Dostęp z węzła zakończenia TOR do magazynu kluczy
(KV_TORAccess)
Opis: Dostęp do magazynu kluczy został uzyskany ze znanego węzła zakończenia TOR. Może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i używa sieci TOR do ukrycia lokalizacji źródłowej. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Duża liczba operacji w magazynie kluczy
(KV_OperationVolumeAnomaly)
Opis: nietypowa liczba operacji magazynu kluczy została wykonana przez użytkownika, jednostkę usługi i/lub określony magazyn kluczy. Ten nietypowy wzorzec działania może być uzasadniony, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Podejrzane zmiany zasad i zapytanie tajne w magazynie kluczy
(KV_PutGetAnomaly)
Opis: Użytkownik lub jednostka usługi wykonał nietypową operację zmiany zasad Magazynu, a następnie co najmniej jedną operację Uzyskiwanie wpisu tajnego. Ten wzorzec nie jest zwykle wykonywany przez określonego użytkownika lub jednostkę usługi. Może to być uzasadnione działanie, ale może to wskazywać, że aktor zagrożenia zaktualizował zasady magazynu kluczy, aby uzyskać dostęp do wcześniej niedostępnych wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Lista podejrzanych wpisów tajnych i zapytań w magazynie kluczy
(KV_ListGetAnomaly)
Opis: Użytkownik lub jednostka usługi wykonał nietypową operację listy wpisów tajnych, a następnie co najmniej jedną operację Uzyskiwanie wpisu tajnego. Ten wzorzec nie jest zwykle wykonywany przez określonego użytkownika lub jednostkę usługi i jest zwykle skojarzony z dumpingiem wpisów tajnych. Może to być uzasadnione działanie, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i próbuje odnaleźć wpisy tajne, których można użyć do późniejszego przejścia przez sieć i/lub uzyskania dostępu do poufnych zasobów. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Odmowa nietypowego dostępu — odmowa dostępu użytkownika do dużej liczby magazynów kluczy
(KV_AccountVolumeAccessDeniedAnomaly)
Opis: Użytkownik lub jednostka usługi próbowała uzyskać dostęp do nietypowo dużej liczby magazynów kluczy w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Ważność: Niska
Odmowa nietypowego dostępu — nietypowy użytkownik, który uzyskuje dostęp do magazynu kluczy
(KV_UserAccessDeniedAnomaly)
Opis: Próba dostępu do magazynu kluczy została podjęta przez użytkownika, który zwykle nie uzyskuje do niego dostępu, ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych.
Taktyka MITRE: wstępny dostęp, odnajdywanie
Ważność: Niska
Nietypowa aplikacja uzyskiwała dostęp do magazynu kluczy
(KV_AppAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez jednostkę usługi, która zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowy wzorzec operacji w magazynie kluczy
(KV_OperationPatternAnomaly)
Opis: Nietypowy wzorzec operacji magazynu kluczy został wykonany przez użytkownika, jednostkę usługi i/lub określony magazyn kluczy. Ten nietypowy wzorzec działania może być uzasadniony, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowy użytkownik uzyskiwał dostęp do magazynu kluczy
(KV_UserAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez użytkownika, który zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowa para aplikacji użytkownika uzyskuje dostęp do magazynu kluczy
(KV_UserAppAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez parę jednostki usługi użytkownika, która zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Użytkownik uzyskiwał dostęp do dużej liczby magazynów kluczy
(KV_AccountVolumeAnomaly)
Opis: Użytkownik lub jednostka usługi uzyskał dostęp do nietypowo dużej liczby magazynów kluczy. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może wskazywać, że aktor zagrożeń uzyskał dostęp do wielu magazynów kluczy w celu uzyskania dostępu do wpisów tajnych zawartych w nich. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Odmowa dostępu z podejrzanego adresu IP do magazynu kluczy
(KV_SuspiciousIPAccessDenied)
Opis: Próba nieudanego dostępu do magazynu kluczy została podjęta przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Mimo że ta próba nie powiodła się, oznacza to, że bezpieczeństwo infrastruktury mogło zostać naruszone. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: Niska
Nietypowy dostęp do magazynu kluczy z podejrzanego adresu IP (firmy innej niż Microsoft lub zewnętrzna)
(KV_UnusualAccessSuspiciousIP)
Opis: Użytkownik lub jednostka usługi próbował nietypowego dostępu do magazynów kluczy z adresu IP innego niż Microsoft w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.