Lista referencyjna ścieżek ataków i składników grafu zabezpieczeń w chmurze
W tym artykule wymieniono ścieżki ataków, połączenia i szczegółowe informacje używane w usłudze Defender Cloud Security Posture Management (CSPM).
- Aby wyświetlić ścieżki ataków, należy włączyć CSPM w usłudze Defender.
- To, co widzisz w środowisku, zależy od chronionych zasobów i dostosowanej konfiguracji.
Dowiedz się więcej o grafie zabezpieczeń chmury, analizie ścieżki ataku i eksploratorze zabezpieczeń w chmurze.
Ścieżki ataków
Maszyny wirtualne platformy Azure
Wymaganie wstępne: aby uzyskać listę wymagań wstępnych, zobacz tabelę Dostępności dla ścieżek ataków.
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności | Maszyna wirtualna jest osiągalna z Internetu i ma luki w zabezpieczeniach o wysokiej ważności. |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i wysokie uprawnienia do subskrypcji | Maszyna wirtualna jest osiągalna z Internetu, ma luki w zabezpieczeniach o wysokiej ważności oraz tożsamość i uprawnienia do subskrypcji. |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych z poufnymi danymi | Maszyna wirtualna jest osiągalna z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych zawierającego poufne dane. Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla kont magazynu w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych | Maszyna wirtualna jest osiągalna z Internetu i ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych. |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu w usłudze Key Vault | Maszyna wirtualna jest osiągalna z Internetu i ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu kluczy. |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i wysokie uprawnienia do subskrypcji | Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i ma wysokie uprawnienia do subskrypcji. |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych z poufnymi danymi | Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych zawierającego poufne dane. Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla kont magazynu w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu kluczy | Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu kluczy. |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych | Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do magazynu danych. |
| Uwidoczniona w Internecie maszyna wirtualna ma lukę w zabezpieczeniach o wysokiej ważności i niezabezpieczony klucz prywatny SSH, który może uwierzytelniać się na innej maszynie wirtualnej | Maszyna wirtualna platformy Azure jest osiągalna z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się w innym wystąpieniu usługi AWS EC2 |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny używany do uwierzytelniania na serwerze SQL | Maszyna wirtualna platformy Azure jest osiągalna z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się na serwerze SQL |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny używany do uwierzytelniania na serwerze SQL | Maszyna wirtualna platformy Azure ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się na serwerze SQL |
| Maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny w postaci zwykłego tekstu używany do uwierzytelniania na koncie magazynu | Maszyna wirtualna platformy Azure ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się na koncie usługi Azure Storage |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny używany do uwierzytelniania na koncie magazynu | Maszyna wirtualna platformy Azure jest osiągalna z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma wpis tajny, który może uwierzytelniać się na koncie usługi Azure Storage |
Wystąpienia usługi AWS EC2
Wymaganie wstępne: Włącz skanowanie bez agenta.
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Wystąpienie uwidocznione w Internecie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i wysokie uprawnienia do konta | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma uprawnienia do konta. |
| Wystąpienie uwidocznione w Internecie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu bazy danych | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma uprawnienia do bazy danych. |
| Wystąpienie uwidocznione w Internecie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do zasobnika S3 | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma rolę IAM dołączoną z uprawnieniami do zasobnika S3 za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad zasobnika lub za pośrednictwem zasad zarządzania dostępem i tożsamościami. |
| Wystąpienie uwidocznione w Internecie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do zasobnika S3 z poufnymi danymi | Wystąpienie usługi AWS EC2 jest dostępne z Internetu ma luki w zabezpieczeniach o wysokiej ważności i ma rolę IAM dołączoną z uprawnieniem do zasobnika S3 zawierającego poufne dane za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad zasobnika albo za pośrednictwem zasad i zasobników. Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla zasobników S3 w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
| Uwidocznione w Internecie wystąpienie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i uprawnienia do odczytu do usługi KMS | Wystąpienie usługi AWS EC2 jest osiągalne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma przypisaną rolę zarządzania dostępem i tożsamościami z uprawnieniami do usługi AWS usługa zarządzania kluczami (KMS) za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad usługi AWS usługa zarządzania kluczami (KMS) lub zasad usługi AWS KMS. |
| Uwidocznione w Internecie wystąpienie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności | Wystąpienie usługi AWS EC2 jest dostępne z Internetu i ma luki w zabezpieczeniach o wysokiej ważności. |
| Wystąpienie usługi EC2 z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia o wysokim poziomie uprawnień do konta | Wystąpienie usługi AWS EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma uprawnienia do konta. |
| Wystąpienie usługi EC2 z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych | Wystąpienie usługi AWS EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma dołączoną rolę IAM, która jest przyznawana z uprawnieniami do zasobnika S3 za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad zasobnika albo za pośrednictwem zasad zarządzania tożsamościami i zasobnikami. |
| Wystąpienie usługi EC2 z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych z danymi poufnymi | Wystąpienie usługi AWS EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma dołączoną rolę IAM, która ma uprawnienia do zasobnika S3 zawierającego poufne dane za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad zasobnika albo za pośrednictwem zasad zarządzania dostępem i zasobnikiem. Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla zasobników S3 w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
| Wystąpienie usługi EC2 z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu klucza usługi KMS | Wystąpienie usługi AWS EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma dołączoną rolę IAM, która ma przyznane uprawnienia do klucza usługi AWS usługa zarządzania kluczami (KMS) za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad usługi AWS usługa zarządzania kluczami (KMS) lub za pośrednictwem zasad usługi IAM i AWS KMS. |
| Uwidocznione w Internecie wystąpienie usługi EC2 ma lukę w zabezpieczeniach o wysokiej ważności i niezabezpieczony klucz prywatny SSH, który może uwierzytelniać się w innym wystąpieniu usługi AWS EC2 | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się w innym wystąpieniu usługi AWS EC2 |
| Uwidocznione w Internecie wystąpienie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny używany do uwierzytelniania w zasobie usług pulpitu zdalnego | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się w zasobie usług pulpitu zdalnego platformy AWS |
| Wystąpienie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny w postaci zwykłego tekstu używany do uwierzytelniania w zasobie usług pulpitu zdalnego | Wystąpienie usługi AWS EC2 ma luki w zabezpieczeniach o wysokiej ważności i ma klucz prywatny SSH w postaci zwykłego tekstu, który może uwierzytelniać się w zasobie usług pulpitu zdalnego platformy AWS |
| Wystąpienie usługi AWS EC2 uwidocznione w Internecie ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny z uprawnieniami do zasobnika S3 za pośrednictwem zasad zarządzania dostępem i tożsamościami lub za pośrednictwem zasad zasobnika albo za pośrednictwem zasad IAM i zasobników. | Wystąpienie usługi AWS EC2 jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności i ma niezabezpieczony wpis tajny, który ma uprawnienia do zasobnika S3 za pośrednictwem zasad zarządzania dostępem i tożsamościami, zasad zasobnika lub obu tych zasad |
Wystąpienia maszyn wirtualnych GCP
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie ma luki w zabezpieczeniach o wysokiej ważności | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" jest dostępne z Internetu i ma luki w zabezpieczeniach o wysokiej ważności [Zdalne wykonywanie kodu]. |
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienia do odczytu do magazynu danych. |
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych z poufnymi danymi | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności umożliwiające zdalne wykonywanie kodu na maszynie i przypisane przy użyciu konta usługi z uprawnieniem do odczytu do zasobnika magazynu GCP "[BucketName]" zawierającego poufne dane. |
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie ma luki w zabezpieczeniach o wysokiej ważności i wysokie uprawnienia do projektu | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienie "[Uprawnienia]" do projektu "[ProjectName]". |
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do menedżera wpisów tajnych | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienia do odczytu za pośrednictwem zasad zarządzania dostępem i tożsamościami do wpisu tajnego menedżera kluczy tajnych GCP "[SecretName]". |
| Wystąpienie maszyny wirtualnej uwidocznione w Internecie ma luki w zabezpieczeniach o wysokiej ważności i zainstalowaną hostowaną bazę danych | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" z hostowaną bazą danych [DatabaseType] jest dostępne z Internetu i ma luki w zabezpieczeniach o wysokiej ważności. |
| Maszyna wirtualna uwidoczniona w Internecie z lukami w zabezpieczeniach o wysokiej ważności ma klucz prywatny SSH w postaci zwykłego tekstu | Wystąpienie maszyny wirtualnej GCP "[MachineName]" jest dostępne z Internetu, ma luki w zabezpieczeniach o wysokiej ważności [Zdalne wykonywanie kodu] i ma klucz prywatny SSH w postaci zwykłego tekstu [SSHPrivateKey]. |
| Wystąpienie maszyny wirtualnej z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienia do odczytu do magazynu danych. |
| Wystąpienie maszyny wirtualnej z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do magazynu danych z danymi poufnymi | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" ma luki w zabezpieczeniach o wysokiej ważności [Zdalne wykonywanie kodu] i ma uprawnienia do odczytu do zasobnika magazynu GCP "[BucketName]" zawierającego poufne dane. |
| Wystąpienie maszyny wirtualnej ma luki w zabezpieczeniach o wysokiej ważności i wysokie uprawnienia do projektu | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienie "[Uprawnienia]" do projektu "[ProjectName]". |
| Wystąpienie maszyny wirtualnej z lukami w zabezpieczeniach o wysokiej ważności ma uprawnienia do odczytu do menedżera wpisów tajnych | Wystąpienie maszyny wirtualnej GCP "[VMInstanceName]" ma luki w zabezpieczeniach o wysokiej ważności[Zdalne wykonywanie kodu] i ma uprawnienia do odczytu za pośrednictwem zasad zarządzania dostępem i tożsamościami do wpisu tajnego menedżera kluczy tajnych GCP "[SecretName]". |
| Wystąpienie maszyny wirtualnej z lukami w zabezpieczeniach o wysokiej ważności ma klucz prywatny SSH w postaci zwykłego tekstu | Wystąpienie maszyny wirtualnej GCP w celu dopasowania do wszystkich innych ścieżek ataku. Maszyna wirtualna "[MachineName]" ma luki w zabezpieczeniach o wysokiej ważności [Zdalne wykonywanie kodu] i ma klucz prywatny SSH w postaci zwykłego tekstu [SSHPrivateKey]. |
Dane platformy Azure
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Internet uwidoczniony sql na maszynie wirtualnej ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu na maszynie wirtualnej | Usługa SQL na maszynie wirtualnej jest dostępna z Internetu, ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma luki w zabezpieczeniach umożliwiające wykonywanie kodu i przenoszenie boczne do bazowej maszyny wirtualnej. Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Internet uwidoczniony sql na maszynie wirtualnej ma konto użytkownika z powszechnie używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach | Usługa SQL na maszynie wirtualnej jest dostępna z Internetu, ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE). Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Usługa SQL na maszynie wirtualnej ma konto użytkownika z często używaną nazwą użytkownika i umożliwia wykonywanie kodu na maszynie wirtualnej | Usługa SQL na maszynie wirtualnej ma konto użytkownika lokalnego z często używaną nazwą użytkownika (podatną na ataki siłowe) i ma luki w zabezpieczeniach umożliwiające wykonywanie kodu i przenoszenie boczne do bazowej maszyny wirtualnej. Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Usługa SQL na maszynie wirtualnej ma konto użytkownika z często używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach | Usługa SQL na maszynie wirtualnej ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE). Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Zarządzana baza danych z nadmierną ekspozycją na Internet umożliwia uwierzytelnianie podstawowe (użytkownika lokalnego/hasła) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z dowolnego publicznego adresu IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych w celu ataków siłowych. |
| Zarządzana baza danych z nadmierną ekspozycją w Internecie i poufnymi danymi umożliwia uwierzytelnianie podstawowe (użytkownik lokalny/hasło) (wersja zapoznawcza) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z dowolnego publicznego adresu IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych z poufnymi danymi w celu ataków siłowych. |
| Internet uwidoczniony zarządzana baza danych z danymi poufnymi umożliwia uwierzytelnianie podstawowe (użytkownik lokalny/hasło) (wersja zapoznawcza) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z określonych adresów IP lub zakresów adresów IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych z poufnymi danymi w celu ataków siłowych. |
| Uwidoczniona w Internecie maszyna wirtualna ma luki w zabezpieczeniach o wysokiej ważności i zainstalowaną hostowaną bazę danych (wersja zapoznawcza) | Osoba atakująca mająca dostęp sieciowy do maszyny bazy danych może wykorzystać luki w zabezpieczeniach i uzyskać zdalne wykonywanie kodu. |
| Prywatny kontener usługi Azure Blob Storage replikuje dane do uwidocznionych w Internecie i publicznie dostępnych kontenerów usługi Azure Blob Storage | Wewnętrzny kontener usługi Azure Storage replikuje swoje dane do innego kontenera usługi Azure Storage dostępnego z Internetu i zezwala na dostęp publiczny oraz stanowi zagrożenie dla tych danych. |
| Internet uwidoczniony kontener usługi Azure Blob Storage z poufnymi danymi jest publicznie dostępny | Kontener konta magazynu obiektów blob z poufnymi danymi jest dostępny z Internetu i umożliwia publiczny dostęp do odczytu bez autoryzacji. Wymaganie wstępne: Włącz zabezpieczenia obsługujące dane dla kont magazynu w CSPM w usłudze Defender. |
Dane platformy AWS
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Dostępny publicznie internetowy zasobnik platformy AWS S3 z danymi poufnymi | Zasobnik S3 z danymi poufnymi jest dostępny z Internetu i umożliwia publiczny dostęp do odczytu bez autoryzacji. Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla zasobników S3 w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
| Internet uwidoczniony SQL w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu na podstawie bazowego obliczenia | Internet uwidoczniony SQL w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu w bazowym wystąpieniu obliczeniowym. Wymaganie wstępne: Włącz usługę Microsoft Defender dla serwerów SQL na maszynach. |
| Internet uwidoczniony sql w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach | Wystąpienie usługi SQL w usłudze EC2 jest dostępne z Internetu, ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE). Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Usługa SQL w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu w bazowym wystąpieniu obliczeniowym | Wystąpienie usługi SQL w usłudze EC2 ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma luki w zabezpieczeniach umożliwiające wykonywanie kodu i przenoszenie boczne do bazowego środowiska obliczeniowego. Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Usługa SQL w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach | Wystąpienie usługi SQL w usłudze EC2 [EC2Name] ma lokalne konto użytkownika z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE). Wymaganie wstępne: Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach |
| Zarządzana baza danych z nadmierną ekspozycją na Internet umożliwia uwierzytelnianie podstawowe (użytkownika lokalnego/hasła) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z dowolnego publicznego adresu IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych w celu ataków siłowych. |
| Zarządzana baza danych z nadmierną ekspozycją w Internecie i poufnymi danymi umożliwia uwierzytelnianie podstawowe (użytkownik lokalny/hasło) (wersja zapoznawcza) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z dowolnego publicznego adresu IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych z poufnymi danymi w celu ataków siłowych. |
| Internet uwidoczniony zarządzana baza danych z danymi poufnymi umożliwia uwierzytelnianie podstawowe (użytkownik lokalny/hasło) (wersja zapoznawcza) | Dostęp do bazy danych można uzyskać za pośrednictwem Internetu z określonych adresów IP lub zakresów adresów IP i umożliwia uwierzytelnianie przy użyciu nazwy użytkownika i hasła (podstawowy mechanizm uwierzytelniania), który uwidacznia bazę danych z poufnymi danymi w celu ataków siłowych. |
| Wystąpienie uwidocznione w Internecie usługi EC2 ma luki w zabezpieczeniach o wysokiej ważności i zainstalowaną hostowaną bazę danych (wersja zapoznawcza) | Osoba atakująca mająca dostęp sieciowy do maszyny bazy danych może wykorzystać luki w zabezpieczeniach i uzyskać zdalne wykonywanie kodu. |
| Prywatny zasobnik usługi AWS S3 replikuje dane do uwidocznionych w Internecie i publicznie dostępnych zasobników usługi AWS S3 | Wewnętrzny zasobnik usługi AWS S3 replikuje swoje dane do innego zasobnika S3, który jest dostępny z Internetu i umożliwia dostęp publiczny, a także stanowi zagrożenie dla tych danych. |
| Migawka usług pulpitu zdalnego jest publicznie dostępna dla wszystkich kont platformy AWS (wersja zapoznawcza) | Migawka wystąpienia lub klastra usług pulpitu zdalnego jest publicznie dostępna dla wszystkich kont platformy AWS. |
| Internet uwidoczniony sql w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu w bazowym wystąpieniu obliczeniowym (wersja zapoznawcza) | Wystąpienie usługi SQL w usłudze EC2 jest dostępne z Internetu, ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma luki w zabezpieczeniach umożliwiające wykonywanie kodu i przenoszenie boczne do bazowego obliczenia |
| Internet uwidoczniony sql w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach (wersja zapoznawcza) | Wystąpienie usługi SQL w usłudze EC2 jest dostępne z Internetu, ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE) |
| Usługa SQL w wystąpieniu usługi EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i umożliwia wykonywanie kodu w bazowym wystąpieniu obliczeniowym (wersja zapoznawcza) | Wystąpienie usługi SQL w usłudze EC2 ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma luki w zabezpieczeniach umożliwiające wykonywanie kodu i przenoszenie boczne do bazowego środowiska obliczeniowego |
| Wystąpienie usługi SQL w usłudze EC2 ma konto użytkownika z powszechnie używaną nazwą użytkownika i znanymi lukami w zabezpieczeniach (wersja zapoznawcza) | Wystąpienie usługi SQL w usłudze EC2 ma konto użytkownika lokalnego z powszechnie używaną nazwą użytkownika (podatną na ataki siłowe) i ma znane luki w zabezpieczeniach (CVE) |
| Prywatny zasobnik usługi AWS S3 replikuje dane do uwidocznionych w Internecie i publicznie dostępnych zasobników usługi AWS S3 | Prywatny zasobnik usługi AWS S3 replikuje dane do uwidocznionych w Internecie i publicznie dostępnych zasobników usługi AWS S3 |
| Prywatny zasobnik usługi AWS S3 z danymi poufnymi replikuje dane do internetowego udostępnionego i publicznie dostępnego zasobnika usługi AWS S3 | Prywatny zasobnik usługi AWS S3 z danymi poufnymi replikuje dane do uwidocznionych w Internecie i publicznie dostępnych zasobników usługi AWS S3 |
| Migawka usług pulpitu zdalnego jest publicznie dostępna dla wszystkich kont platformy AWS (wersja zapoznawcza) | Migawka usług pulpitu zdalnego jest publicznie dostępna dla wszystkich kont platformy AWS |
Dane GCP
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Zasobnik magazynu GCP z danymi poufnymi jest publicznie dostępny | Zasobnik magazynu GCP [BucketName] z danymi poufnymi umożliwia publiczny dostęp do odczytu bez autoryzacji. |
Kontenery platformy Azure
Wymaganie wstępne: Włącz stan kontenera bez agenta. Umożliwi to również wykonywanie zapytań dotyczących obciążeń płaszczyzny danych kontenerów w Eksploratorze zabezpieczeń.
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Internetowy zasobnik Kubernetes uruchamia kontener z lukami w zabezpieczeniach RCE | Internet uwidoczniony zasobnik Kubernetes w przestrzeni nazw uruchamia kontener przy użyciu obrazu, który ma luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu. |
| Zasobnik Kubernetes uruchomiony w węźle uwidoczniony w Internecie używa sieci hosta, uruchamia kontener z lukami w zabezpieczeniach RCE | Zasobnik Kubernetes w przestrzeni nazw z włączonym dostępem do sieci hosta jest uwidoczniony w Internecie za pośrednictwem sieci hosta. Zasobnik uruchamia kontener przy użyciu obrazu, który ma luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu. |
Repozytoria usługi GitHub
Wymaganie wstępne: Włącz usługę Defender dla metodyki DevOps.
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Internetowe uwidocznione repozytorium GitHub z wpisem tajnym w postaci zwykłego tekstu jest publicznie dostępne (wersja zapoznawcza) | Repozytorium GitHub jest dostępne z Internetu, umożliwia publiczny dostęp do odczytu bez autoryzacji i przechowuje wpisy tajne w postaci zwykłego tekstu. |
Interfejsy API
Wymaganie wstępne: Włącz usługę Defender dla interfejsów API.
| Nazwa wyświetlana ścieżki ataku | Opis ścieżki ataku |
|---|---|
| Internetowe uwidocznione interfejsy API, które nie są uwierzytelnione, przenoszą poufne dane | Interfejs API usługi Azure API Management jest dostępny z Internetu, zawiera poufne dane i nie ma włączonego uwierzytelniania, dzięki czemu osoby atakujące wykorzystują interfejsy API do eksfiltracji danych. |
Lista składników grafu zabezpieczeń w chmurze
W tej sekcji wymieniono wszystkie składniki grafu zabezpieczeń w chmurze (połączenia i szczegółowe informacje), które mogą być używane w zapytaniach z eksploratorem zabezpieczeń w chmurze.
Wyniki analiz
| Wynik analiz | opis | Obsługiwane jednostki |
|---|---|---|
| Uwidocznione w Internecie | Wskazuje, że zasób jest uwidoczniony w Internecie. Obsługuje filtrowanie portów. Dowiedz się więcej | Maszyna wirtualna platformy Azure, AWS EC2, konto magazynu platformy Azure, serwer Azure SQL, Azure Cosmos DB, AWS S3, zasobnik Kubernetes, wystąpienie usługi Azure SQL Managed Instance, pojedynczy serwer Azure MySQL, azure MySQL — elastyczny serwer, azure PostgreSQL — pojedynczy serwer, azure PostgreSQL — pojedynczy serwer, azure MariaDB — pojedynczy serwer, obszar roboczy usługi Synapse, wystąpienie usług PULPITU zdalnego, wystąpienie maszyny wirtualnej GCP, wystąpienie administratora bazy danych GCP |
| Zezwala na uwierzytelnianie podstawowe (wersja zapoznawcza) | Wskazuje, że zasób zezwala na uwierzytelnianie podstawowe (użytkownika lokalnego/hasła lub opartego na kluczach) | Azure SQL Server, wystąpienie usług pulpitu zdalnego, pojedynczy serwer Usługi Azure MariaDB, pojedynczy serwer Azure MySQL, serwer elastyczny Azure MySQL, obszar roboczy usługi Synapse, pojedynczy serwer usługi Azure PostgreSQL, wystąpienie zarządzane usługi Azure SQL |
| Zawiera poufne dane Wymaganie wstępne: włącz zabezpieczenia obsługujące dane dla kont magazynu w CSPM w usłudze Defender lub skorzystaj z Wykaz danych w Microsoft Purview w celu ochrony poufnych danych. |
Wskazuje, że zasób zawiera poufne dane. | Odnajdywanie poufnych danych MDC: Konto usługi Azure Storage, kontener konta usługi Azure Storage, zasobnik AWS S3, azure SQL Server (wersja zapoznawcza), usługa Azure SQL Database (wersja zapoznawcza), wystąpienie usług pulpitu zdalnego (wersja zapoznawcza), baza danych wystąpień usług pulpitu zdalnego (wersja zapoznawcza), klaster usług pulpitu zdalnego (wersja zapoznawcza) Odnajdywanie poufnych danych usługi Purview (wersja zapoznawcza): Konto usługi Azure Storage, kontener konta usługi Azure Storage, zasobnik usług AWS S3, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, konta usługi Azure Cosmos DB, zasobnik magazynu w chmurze GCP |
| Przenosi dane do (wersja zapoznawcza) | Wskazuje, że zasób przesyła dane do innego zasobu | Kontener konta magazynu, AWS S3, wystąpienie usług AWS RDS, klaster usług PULPITU zdalnego platformy AWS |
| Pobiera dane z (wersja zapoznawcza) | Wskazuje, że zasób pobiera dane z innego zasobu | Kontener konta magazynu, AWS S3, wystąpienie usług AWS RDS, klaster usług PULPITU zdalnego platformy AWS |
| Zawiera tagi | Wyświetla listę tagów zasobów zasobu w chmurze | Wszystkie zasoby platformy Azure, AWS i GCP |
| Zainstalowane oprogramowanie | Wyświetla listę wszystkich programów zainstalowanych na maszynie. Ta analiza ma zastosowanie tylko w przypadku maszyn wirtualnych, które mają Zarządzanie zagrożeniami i lukami integrację z Defender dla Chmury włączone i są połączone z Defender dla Chmury. | Maszyna wirtualna platformy Azure, AWS EC2 |
| Zezwala na dostęp publiczny | Wskazuje, że publiczny dostęp do odczytu jest dozwolony dla zasobu bez wymaganej autoryzacji. Dowiedz się więcej | Konto magazynu platformy Azure, zasobnik usługi AWS S3, repozytorium GitHub, zasobnik magazynu w chmurze GCP |
| Nie ma włączonej uwierzytelniania wieloskładnikowego | Wskazuje, że konto użytkownika nie ma włączonego rozwiązania do uwierzytelniania wieloskładnikowego | Konto użytkownika usługi Microsoft Entra, użytkownik IAM |
| Jest użytkownikiem zewnętrznym | Wskazuje, że konto użytkownika znajduje się poza domeną organizacji | Konto użytkownika Microsoft Entra |
| Jest zarządzany | Wskazuje, że tożsamość jest zarządzana przez dostawcę usług w chmurze | Tożsamość zarządzana na platformie Azure |
| Zawiera typowe nazwy użytkowników | Wskazuje, że serwer SQL ma konta użytkowników z typowymi nazwami użytkowników, które są podatne na ataki siłowe. | Maszyna wirtualna SQL, maszyna wirtualna SQL z obsługą usługi Arc |
| Może wykonywać kod na hoście | Wskazuje, że serwer SQL umożliwia wykonywanie kodu na podstawowej maszynie wirtualnej przy użyciu wbudowanego mechanizmu, takiego jak xp_cmdshell. | Maszyna wirtualna SQL, maszyna wirtualna SQL z obsługą usługi Arc |
| Ma luki w zabezpieczeniach | Wskazuje, że wykryto luki w zabezpieczeniach serwera SQL zasobu | Maszyna wirtualna SQL, maszyna wirtualna SQL z obsługą usługi Arc |
| Ustalenia DEASM | Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender (DEASM) wyniki skanowania w Internecie | Publiczny adres IP |
| Kontener uprzywilejowany | Wskazuje, że kontener Kubernetes działa w trybie uprzywilejowanym | Kontener Kubernetes |
| Używa sieci hosta | Wskazuje, że zasobnik Kubernetes używa przestrzeni nazw sieci maszyny hosta | Zasobnik Kubernetes |
| Ma luki w zabezpieczeniach o wysokiej ważności | Wskazuje, że zasób ma luki w zabezpieczeniach o wysokiej ważności | Maszyna wirtualna platformy Azure, AWS EC2, obraz kontenera, wystąpienie maszyny wirtualnej GCP |
| Podatne na zdalne wykonywanie kodu | Wskazuje, że zasób ma luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu | Maszyna wirtualna platformy Azure, AWS EC2, obraz kontenera, wystąpienie maszyny wirtualnej GCP |
| Metadane publicznego adresu IP | Wyświetla metadane publicznego adresu IP | Publiczny adres IP |
| Metadane tożsamości | Wyświetla metadane tożsamości | Tożsamość Microsoft Entra |
Połączenia
| Connection | opis | Typy jednostek źródłowych | Typy jednostek docelowych |
|---|---|---|---|
| Może uwierzytelniać się jako | Wskazuje, że zasób platformy Azure może uwierzytelniać się w tożsamości i używać jego uprawnień | Maszyna wirtualna platformy Azure, usługa Azure VMSS, konto usługi Azure Storage, usługi aplikacja systemu Azure Services, serwery SQL | Tożsamość zarządzana firmy Microsoft Entra |
| Ma uprawnienia do | Wskazuje, że tożsamość ma uprawnienia do zasobu lub grupy zasobów | Microsoft Entra user account, Managed Identity, IAM user, EC2 instance | Wszystkie zasoby platformy Azure & AWS |
| Contains | Wskazuje, że jednostka źródłowa zawiera jednostkę docelową | Subskrypcja platformy Azure, grupa zasobów platformy Azure, konto AWS, przestrzeń nazw Kubernetes, zasobnik Kubernetes, klaster Kubernetes, właściciel usługi GitHub, projekt DevOps platformy Azure, organizacja usługi Azure DevOps, azure sql server, klaster usług pulpitu zdalnego, wystąpienie usług pulpitu zdalnego, projekt GCP, folder GCP, organizacja GCP | Wszystkie zasoby platformy Azure, AWS i GCP, wszystkie jednostki Kubernetes, wszystkie jednostki DevOps, baza danych Azure SQL Database, wystąpienie usług pulpitu zdalnego, baza danych wystąpień usług pulpitu zdalnego |
| Kieruje ruch do | Wskazuje, że jednostka źródłowa może kierować ruch sieciowy do jednostki docelowej | Publiczny adres IP, moduł równoważenia obciążenia, sieć wirtualna, podsieć, VPC, brama internetowa, usługa Kubernetes, zasobnik Kubernetes | Maszyna wirtualna platformy Azure, azure VMSS, AWS EC2, Subnet, Load Balancer, brama internetowa, zasobnik Kubernetes, usługa Kubernetes, wystąpienie maszyny wirtualnej GCP, grupa wystąpień GCP |
| Jest uruchomiony | Wskazuje, że jednostka źródłowa uruchamia jednostkę docelową jako proces | Maszyna wirtualna platformy Azure, EC2, kontener Kubernetes | SQL, sql z obsługą usługi Arc, hostowana baza danych MongoDB, hostowana baza danych MySQL, hostowana oracle, hostowana baza danych PostgreSQL, hostowany program SQL Server, obraz kontenera, zasobnik Kubernetes |
| Członek | Wskazuje, że tożsamość źródłowa jest członkiem grupy tożsamości docelowych | Microsoft Entra group, Microsoft Entra user | Grupa Microsoft Entra |
| Utrzymuje | Wskazuje, że źródłowa jednostka Kubernetes zarządza cyklem życia docelowej jednostki Kubernetes | Kontroler obciążenia Kubernetes, zestaw replik Kubernetes, zestaw stanowy Kubernetes, zestaw demona Kubernetes, zadania kubernetes, zadanie cron platformy Kubernetes | Zasobnik Kubernetes |