Alertas para o Azure Key Vault
Este artigo lista os alertas de segurança que você pode receber para o Azure Key Vault do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Azure Key Vault
Acesso de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Descrição: um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso de um nó de saída do TOR a um cofre de chaves
(KV_TORAccess)
Descrição: um cofre de chaves foi acessado de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um ator de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alto volume de operações em um cofre de chaves
(KV_OperationVolumeAnomaly)
Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alteração de política suspeita e consulta de segredo em um cofre de chaves
(KV_PutGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação de alteração de política de colocação do Vault anômala seguida por uma ou mais operações de obtenção de segredo. Esse padrão normalmente não é executado pelo usuário ou pela entidade de serviço especificada. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Listagem e consulta secreta suspeitas em um cofre de chaves
(KV_ListGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obtenção de Segredo. Esse padrão normalmente não é executado pelo usuário nem pela entidade de serviço especificada e normalmente está associado ao despejo de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas do MITRE: Descoberta
Gravidade: Baixa
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Descrição: um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.
Táticas MITRE: Acesso Inicial, Descoberta
Gravidade: Baixa
Aplicativo incomum acessou um cofre de chaves
(KV_AppAnomaly)
Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Padrão de operação incomum em um cofre de chaves
(KV_OperationPatternAnomaly)
Descrição: um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Um usuário incomum acessou um cofre de chaves
(KV_UserAnomaly)
Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Um par incomum de usuário-aplicativo acessou um cofre de chaves
(KV_UserAppAnomaly)
Descrição: um cofre de chaves foi acessado por um par de entidade de serviço do usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
O usuário acessou um alto volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso negado de um IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccessDenied)
Descrição: um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Baixa
Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo)
(KV_UnusualAccessSuspiciousIP)
Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não é da Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.