Lista de referência de caminhos de ataque e componentes do gráfico de segurança na nuvem
Este artigo lista os caminhos de ataque, conexões e informações usadas no Defender Cloud Security Posture Management (CSPM).
- Você precisa habilitar o Defender CSPM para exibir caminhos de ataque.
- O que você vê em seu ambiente depende dos recursos que você está protegendo e da sua configuração personalizada.
Saiba mais sobre o gráfico de segurança na nuvem, a análise de caminho de ataque e o explorador de segurança na nuvem.
Caminhos de ataque
VMs do Azure
Pré-requisito: Para obter uma lista de pré-requisitos, consulte a tabela Disponibilidade para caminhos de ataque.
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| VM exposta à Internet tem vulnerabilidades de alta gravidade | Uma máquina virtual é acessível a partir da Internet e tem vulnerabilidades de alta gravidade. |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e alta permissão para uma assinatura | Uma máquina virtual pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e identidade e permissão para uma assinatura. |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados com dados confidenciais | Uma máquina virtual pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados que contém dados confidenciais. Pré-requisito: habilite a segurança com reconhecimento de dados para contas de armazenamento no Defender CSPM ou aproveite o Catálogo de Dados Microsoft Purview para proteger dados confidenciais. |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados | Uma máquina virtual pode ser acessada pela Internet e tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados. |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um Cofre de Chaves | Uma máquina virtual pode ser acessada pela Internet e tem vulnerabilidades de alta gravidade e permissão de leitura para um cofre de chaves. |
| A VM tem vulnerabilidades de alta gravidade e alta permissão para uma assinatura | Uma máquina virtual tem vulnerabilidades de alta gravidade e tem alta permissão para uma assinatura. |
| A VM tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados com dados confidenciais | Uma máquina virtual tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados que contém dados confidenciais. Pré-requisito: habilite a segurança com reconhecimento de dados para contas de armazenamento no Defender CSPM ou aproveite o Catálogo de Dados Microsoft Purview para proteger dados confidenciais. |
| A VM tem vulnerabilidades de alta gravidade e permissão de leitura para um cofre de chaves | Uma máquina virtual tem vulnerabilidades de alta gravidade e permissão de leitura para um cofre de chaves. |
| A VM tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados | Uma máquina virtual tem vulnerabilidades de alta gravidade e permissão de leitura para um armazenamento de dados. |
| A VM exposta à Internet tem vulnerabilidade de alta gravidade e chave privada SSH insegura que pode ser autenticada em outra VM | Uma máquina virtual do Azure pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em outra instância do AWS EC2 |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e tem segredo inseguro usado para autenticar em um servidor SQL | Uma máquina virtual do Azure pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto sem formatação que pode ser autenticada em um servidor SQL |
| A VM tem vulnerabilidades de alta gravidade e tem segredo inseguro que é usado para autenticar em um servidor SQL | Uma máquina virtual do Azure tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em um servidor SQL |
| A VM tem vulnerabilidades de alta gravidade e tem segredo de texto sem formatação inseguro que é usado para autenticar na conta de armazenamento | Uma máquina virtual do Azure tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em uma conta de armazenamento do Azure |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e tem segredo inseguro usado para autenticar na conta de armazenamento | Uma máquina virtual do Azure pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem segredos que podem ser autenticados em uma conta de armazenamento do Azure |
Instâncias do AWS EC2
Pré-requisito: habilite a verificação sem agente.
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e alta permissão para uma conta | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem permissão para uma conta. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um banco de dados | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem permissão para um banco de dados. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para bucket do S3 | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada com permissão a um bucket do S3 por meio de uma política do IAM, de uma política de bucket ou de uma política do IAM e de uma política de bucket. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um bucket do S3 com dados confidenciais | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada com permissão a um bucket do S3 que contém dados confidenciais por meio de uma política do IAM, de uma política de bucket ou de uma política do IAM e de uma política de bucket. Pré-requisito: habilite a segurança com reconhecimento de dados para buckets do S3 no Defender CSPM ou aproveite o Microsoft Purview Data Catalog para proteger dados confidenciais. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e permissão de leitura para um KMS | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada com permissão a um AWS Key Management Service (KMS) por meio de uma política do IAM, de uma política do AWS Key Management Service (KMS) ou de uma política do IAM e de uma política do AWS KMS. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade | Uma instância do AWS EC2 pode ser acessada pela Internet e tem vulnerabilidades de alta gravidade. |
| A instância do EC2 com vulnerabilidades de alta gravidade tem permissões de alto privilégio para uma conta | Uma instância do AWS EC2 tem vulnerabilidades de alta gravidade e permissões para uma conta. |
| A instância do EC2 com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados | Uma instância do AWS EC2 tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada, que é concedida com permissões para um bucket do S3 por meio de uma política do IAM ou de uma política de bucket, ou por meio de uma política do IAM e de uma política de bucket. |
| A instância do EC2 com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados com dados confidenciais | Uma instância do AWS EC2 tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada, que é concedida com permissões para um bucket do S3 contendo dados confidenciais por meio de uma política do IAM ou de uma política de bucket, ou por meio de uma política do IAM e de bucket. Pré-requisito: habilite a segurança com reconhecimento de dados para buckets do S3 no Defender CSPM ou aproveite o Microsoft Purview Data Catalog para proteger dados confidenciais. |
| A instância do EC2 com vulnerabilidades de alta gravidade tem permissões de leitura para uma chave KMS | Uma instância do AWS EC2 tem vulnerabilidades de alta gravidade e tem uma função do IAM anexada, que é concedida com permissões para uma chave do AWS Key Management Service (KMS) por meio de uma política do IAM, de uma política do AWS Key Management Service (KMS) ou de uma política do IAM e do AWS KMS. |
| A instância do EC2 exposta na Internet tem vulnerabilidade de alta gravidade e chave privada SSH insegura que pode ser autenticada em outra instância do AWS EC2 | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em outra instância do AWS EC2 |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e segredo inseguro usado para autenticação em um recurso RDS | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em um recurso do AWS RDS |
| A instância do EC2 tem vulnerabilidades de alta gravidade e segredo de texto sem formatação inseguro usado para autenticação em um recurso RDS | Uma instância do AWS EC2 tem vulnerabilidades de alta gravidade e tem chave privada SSH de texto simples que pode ser autenticada em um recurso do AWS RDS |
| A instância do AWS EC2 exposta na Internet tem vulnerabilidades de alta gravidade e tem segredo inseguro que tem permissão para bucket do S3 por meio de uma política do IAM, de uma política de bucket ou de uma política do IAM e de uma política de bucket. | Uma instância do AWS EC2 pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade e tem segredo inseguro com permissões para bucket do S3 por meio de uma política do IAM, uma política de bucket ou ambas |
Instâncias de VM do GCP
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| A instância de VM exposta à Internet tem vulnerabilidades de alta gravidade | A instância de VM do GCP '[VMInstanceName]' pode ser acessada pela Internet e tem vulnerabilidades de alta gravidade [Execução Remota de Código]. |
| A instância de VM exposta na Internet com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados | A instância de VM do GCP '[VMInstanceName]' pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade[Execução Remota de Código] e tem permissões de leitura para um armazenamento de dados. |
| A instância de VM exposta na Internet com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados com dados confidenciais | A instância de VM do GCP '[VMInstanceName]' pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade que permitem a execução remota de código na máquina e atribuída com a Conta de Serviço com permissão de leitura ao bucket de armazenamento do GCP '[BucketName]' contendo dados confidenciais. |
| A instância de VM exposta na Internet tem vulnerabilidades de alta gravidade e alta permissão para um projeto | A instância de VM do GCP '[VMInstanceName]' pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade[Execução Remota de Código] e tem permissão '[Permissões]' para projetar '[ProjectName]'. |
| Instância de VM exposta na Internet com vulnerabilidades de alta gravidade tem permissões de leitura para um Gerenciador Secreto | A instância de VM do GCP '[VMInstanceName]' pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade[Execução remota de código] e tem permissões de leitura por meio da política do IAM para o segredo do GCP Secret Manager '[SecretName]'. |
| A instância de VM exposta na Internet tem vulnerabilidades de alta gravidade e um banco de dados hospedado instalado | A instância de VM do GCP '[VMInstanceName]' com um banco de dados hospedado [DatabaseType] pode ser acessada pela Internet e tem vulnerabilidades de alta gravidade. |
| VM exposta à Internet com vulnerabilidades de alta gravidade tem chave privada SSH de texto simples | A instância de VM do GCP '[MachineName]' pode ser acessada pela Internet, tem vulnerabilidades de alta gravidade [Execução Remota de Código] e tem chave privada SSH de texto simples [SSHPrivateKey]. |
| Instância de VM com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados | A instância de VM do GCP '[VMInstanceName]' tem vulnerabilidades de alta gravidade[Execução Remota de Código] e tem permissões de leitura para um armazenamento de dados. |
| Instância de VM com vulnerabilidades de alta gravidade tem permissões de leitura para um armazenamento de dados com dados confidenciais | A instância de VM do GCP '[VMInstanceName]' tem vulnerabilidades de alta gravidade [Execução Remota de Código] e tem permissões de leitura para o bucket de armazenamento do GCP '[BucketName]' contendo dados confidenciais. |
| A instância de VM tem vulnerabilidades de alta gravidade e alta permissão para um projeto | A instância de VM do GCP '[VMInstanceName]' tem vulnerabilidades de alta gravidade[Execução Remota de Código] e tem permissão '[Permissões]' para projetar '[ProjectName]'. |
| Instância de VM com vulnerabilidades de alta gravidade tem permissões de leitura para um Gerenciador Secreto | A instância de VM do GCP '[VMInstanceName]' tem vulnerabilidades de alta gravidade[Execução Remota de Código] e tem permissões de leitura através da política do IAM para o segredo do GCP Secret Manager '[SecretName]'. |
| Instância de VM com vulnerabilidades de alta gravidade tem chave privada SSH de texto sem formatação | Instância de VM do GCP para alinhar com todos os outros caminhos de ataque. A máquina virtual '[MachineName]' tem vulnerabilidades de alta gravidade [Execução Remota de Código] e tem chave privada SSH de texto simples [SSHPrivateKey]. |
Dados do Azure
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| SQL na VM exposto na Internet tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na VM | O SQL na VM pode ser acessado pela Internet, tem uma conta de usuário local com um nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades que permitem a execução de código e movimento lateral para a VM subjacente. Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| SQL na VM exposto na Internet tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas | O SQL na VM pode ser acessado pela Internet, tem uma conta de usuário local com um nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs). Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| O SQL na VM tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na VM | O SQL na VM tem uma conta de usuário local com um nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades que permitem a execução de código e movimento lateral para a VM subjacente. Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| O SQL na VM tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas | O SQL na VM tem uma conta de usuário local com um nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs). Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| Base de dados gerida com exposição excessiva à Internet permite autenticação básica (utilizador/palavra-passe local) | O banco de dados pode ser acessado através da internet a partir de qualquer IP público e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe o banco de dados a ataques de força bruta. |
| Banco de dados gerenciado com exposição excessiva à Internet e dados confidenciais permite autenticação básica (usuário local/senha) (Visualização) | O banco de dados pode ser acessado através da internet a partir de qualquer IP público e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe um banco de dados com dados sensíveis a ataques de força bruta. |
| O banco de dados gerenciado exposto na Internet com dados confidenciais permite autenticação básica (usuário local/senha) (Visualização) | O banco de dados pode ser acessado através da internet a partir de IPs específicos ou intervalos de IP e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe um banco de dados com dados sensíveis a ataques de força bruta. |
| A VM exposta na Internet tem vulnerabilidades de alta gravidade e um banco de dados hospedado instalado (Visualização) | Um invasor com acesso de rede à máquina de banco de dados pode explorar as vulnerabilidades e obter a execução remota de código. |
| O contêiner de armazenamento de blob privado do Azure replica dados para o contêiner de armazenamento de blob do Azure exposto na Internet e acessível publicamente | Um contêiner de armazenamento interno do Azure replica seus dados para outro contêiner de armazenamento do Azure que pode ser acessado pela Internet e permite acesso público, além de colocar esses dados em risco. |
| O contêiner de Armazenamento de Blob do Azure exposto na Internet com dados confidenciais pode ser acessado publicamente | Um contêiner de conta de armazenamento de blob com dados confidenciais pode ser acessado pela Internet e permite acesso público de leitura sem necessidade de autorização. Pré-requisito: habilite a segurança com reconhecimento de dados para contas de armazenamento no Defender CSPM. |
Dados da AWS
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| O AWS S3 Bucket exposto na Internet com dados confidenciais pode ser acessado publicamente | Um bucket do S3 com dados confidenciais pode ser acessado pela Internet e permite acesso público de leitura sem necessidade de autorização. Pré-requisito: habilite a segurança com reconhecimento de dados para buckets do S3 no Defender CSPM ou aproveite o Catálogo de Dados do Microsoft Purview para proteger dados confidenciais. |
| O SQL exposto na Internet na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na computação subjacente | O SQL exposto na Internet na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na computação subjacente. Pré-requisito: Habilite o Microsoft Defender para servidores SQL em máquinas. |
| O SQL exposto na Internet na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas | O SQL na instância do EC2 pode ser acessado pela Internet, tem uma conta de usuário local com um nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs). Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| O SQL na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na computação subjacente | O SQL na instância do EC2 tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades que permitem a execução de código e movimento lateral para a computação subjacente. Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| O SQL na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas | SQL na instância do EC2 [EC2Name] tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs). Pré-requisito: Habilitar o Microsoft Defender para servidores SQL em máquinas |
| Base de dados gerida com exposição excessiva à Internet permite autenticação básica (utilizador/palavra-passe local) | O banco de dados pode ser acessado através da internet a partir de qualquer IP público e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe o banco de dados a ataques de força bruta. |
| Banco de dados gerenciado com exposição excessiva à Internet e dados confidenciais permite autenticação básica (usuário local/senha) (Visualização) | O banco de dados pode ser acessado através da internet a partir de qualquer IP público e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe um banco de dados com dados sensíveis a ataques de força bruta. |
| O banco de dados gerenciado exposto na Internet com dados confidenciais permite autenticação básica (usuário local/senha) (Visualização) | O banco de dados pode ser acessado através da internet a partir de IPs específicos ou intervalos de IP e permite a autenticação usando nome de usuário e senha (mecanismo de autenticação básica) que expõe um banco de dados com dados sensíveis a ataques de força bruta. |
| A instância do EC2 exposta na Internet tem vulnerabilidades de alta gravidade e um banco de dados hospedado instalado (Visualização) | Um invasor com acesso de rede à máquina de banco de dados pode explorar as vulnerabilidades e obter a execução remota de código. |
| O bucket privado do AWS S3 replica dados para o bucket do AWS S3 exposto na Internet e acessível publicamente | Um bucket interno do AWS S3 replica seus dados para outro bucket do S3 que pode ser acessado pela Internet e permite acesso público, além de colocar esses dados em risco. |
| O snapshot do RDS está disponível publicamente para todas as contas da AWS (Visualização) | Um snapshot de uma instância ou cluster do RDS é acessível publicamente por todas as contas da AWS. |
| O SQL exposto na Internet na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na computação subjacente (Visualização) | O SQL na instância do EC2 pode ser acessado pela Internet, tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades que permitem a execução de código e movimento lateral para a computação subjacente |
| O SQL exposto na Internet na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas (Visualização) | O SQL na instância do EC2 pode ser acessado pela Internet, tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs) |
| O SQL na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e permite a execução de código na computação subjacente (Visualização) | O SQL na instância do EC2 tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades que permitem a execução de código e movimento lateral para a computação subjacente |
| O SQL na instância do EC2 tem uma conta de usuário com nome de usuário comumente usado e vulnerabilidades conhecidas (Visualização) | O SQL na instância do EC2 tem uma conta de usuário local com nome de usuário comumente usado (que é propenso a ataques de força bruta) e tem vulnerabilidades conhecidas (CVEs) |
| O bucket privado do AWS S3 replica dados para o bucket do AWS S3 exposto na Internet e acessível publicamente | O bucket privado do AWS S3 está replicando dados para o bucket do AWS S3 exposto na Internet e acessível publicamente |
| O bucket privado do AWS S3 com dados confidenciais replica dados para o bucket do AWS S3 exposto na Internet e acessível publicamente | O bucket privado do AWS S3 com dados confidenciais está replicando dados para o bucket do AWS S3 exposto na Internet e acessível publicamente |
| O snapshot do RDS está disponível publicamente para todas as contas da AWS (Visualização) | O snapshot do RDS está disponível publicamente para todas as contas da AWS |
Dados GCP
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| O bucket de armazenamento GCP com dados confidenciais é acessível publicamente | GCP Storage Bucket [BucketName] com dados confidenciais permite acesso público de leitura sem necessidade de autorização. |
Contentores do Azure
Pré-requisito: Habilitar a postura do contêiner sem agente. Isso também lhe dará a capacidade de consultar cargas de trabalho de plano de dados de contêineres no security explorer.
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| O pod Kubernetes exposto na Internet está executando um contêiner com vulnerabilidades RCE | Um pod Kubernetes exposto na Internet em um namespace está executando um contêiner usando uma imagem que tem vulnerabilidades que permitem a execução remota de código. |
| O pod do Kubernetes em execução em um nó exposto à Internet usa a rede host está executando um contêiner com vulnerabilidades RCE | Um pod Kubernetes em um namespace com acesso à rede host habilitado é exposto à Internet através da rede host. O pod está executando um contêiner usando uma imagem que tem vulnerabilidades que permitem a execução remota de código. |
Repositórios GitHub
Pré-requisito: habilite o Defender para DevOps.
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| O repositório GitHub exposto na Internet com segredo de texto simples é acessível publicamente (Visualização) | Um repositório GitHub é acessível a partir da Internet, permite acesso público de leitura sem necessidade de autorização e mantém segredos de texto simples. |
APIs
Pré-requisito: Habilitar o Defender para APIs.
| Nome de exibição do caminho de ataque | Descrição do caminho de ataque |
|---|---|
| APIs expostas à Internet que não são autenticadas carregam dados confidenciais | A API de Gerenciamento de API do Azure pode ser acessada pela Internet, contém dados confidenciais e não tem autenticação habilitada, resultando em invasores explorando APIs para exfiltração de dados. |
Lista de componentes do gráfico de segurança na nuvem
Esta seção lista todos os componentes do gráfico de segurança na nuvem (conexões e insights) que podem ser usados em consultas com o explorador de segurança na nuvem.
Informações
| Informações | Description | Entidades suportadas |
|---|---|---|
| Exposto à internet | Indica que um recurso está exposto à Internet. Suporta filtragem de portas. Mais informações | Máquina virtual do Azure, AWS EC2, Conta de armazenamento do Azure, Azure SQL server, Azure Cosmos DB, AWS S3, Kubernetes pod, Azure SQL Managed Instance, Azure MySQL Single Server, Azure MySQL Flexible Server, Azure PostgreSQL Single Server, Azure PostgreSQL Flexible Server, Azure MariaDB Single Server, Synapse Workspace, RDS Instance, GCP VM instance, GCP SQL admin instance |
| Permite autenticação básica (Pré-visualização) | Indica que um recurso permite autenticação básica (usuário/senha local ou baseada em chave) | Azure SQL Server, Instância RDS, Azure MariaDB Single Server, Azure MySQL Single Server, Azure MySQL Flexible Server, Synapse Workspace, Azure PostgreSQL Single Server, Azure SQL Managed Instance |
| Contém dados confidenciais Pré-requisito: habilite a segurança com reconhecimento de dados para contas de armazenamento no Defender CSPM ou aproveite o Catálogo de Dados Microsoft Purview para proteger dados confidenciais. |
Indica que um recurso contém dados confidenciais. | Descoberta de dados confidenciais do MDC: Conta de Armazenamento do Azure, Contêiner da Conta de Armazenamento do Azure, bucket do AWS S3, SQL Server do Azure (visualização), Banco de Dados SQL do Azure (visualização), Instância do RDS (visualização), Banco de Dados de Instância do RDS (visualização), Cluster do RDS (visualização) Purview Descoberta de dados confidenciais (visualização): Conta de Armazenamento do Azure, Contêiner da Conta de Armazenamento do Azure, bucket do AWS S3, SQL Server do Azure, Banco de Dados SQL do Azure, Azure Data Lake Storage Gen2, Banco de Dados do Azure para PostgreSQL, Banco de Dados do Azure para MySQL, Azure Synapse Analytics, Contas do Azure Cosmos DB, bucket de armazenamento em nuvem do GCP |
| Move dados para (Pré-visualização) | Indica que um recurso transfere seus dados para outro recurso | Contêiner de conta de armazenamento, AWS S3, instância do AWS RDS, cluster do AWS RDS |
| Obtém dados de (Visualização) | Indica que um recurso obtém seus dados de outro recurso | Contêiner de conta de armazenamento, AWS S3, instância do AWS RDS, cluster do AWS RDS |
| Tem tags | Lista as tags de recurso do recurso de nuvem | Todos os recursos do Azure, AWS e GCP |
| Software instalado | Lista todos os softwares instalados na máquina. Essa perceção é aplicável apenas para VMs que têm integração de gerenciamento de ameaças e vulnerabilidades com o Defender for Cloud habilitado e estão conectadas ao Defender for Cloud. | Máquina virtual do Azure, AWS EC2 |
| Permite o acesso público | Indica que um acesso público de leitura é permitido ao recurso sem necessidade de autorização. Mais informações | Conta de armazenamento do Azure, bucket do AWS S3, repositório GitHub, bucket de armazenamento em nuvem do GCP |
| Não tem MFA ativado | Indica que a conta de usuário não tem uma solução de autenticação multifator habilitada | Conta de usuário do Microsoft Entra, usuário do IAM |
| É utilizador externo | Indica que a conta de usuário está fora do domínio da organização | Conta de utilizador do Microsoft Entra |
| É gerido | Indica que uma identidade é gerenciada pelo provedor de nuvem | Identidade Gerida do Azure |
| Contém nomes de utilizador comuns | Indica que um servidor SQL tem contas de usuário com nomes de usuário comuns que são propensos a ataques de força bruta. | VM SQL, VM SQL habilitada para Arc |
| Pode executar código no host | Indica que um servidor SQL permite executar código na VM subjacente usando um mecanismo interno, como xp_cmdshell. | VM SQL, VM SQL habilitada para Arc |
| Tem vulnerabilidades | Indica que o recurso SQL Server tem vulnerabilidades detetadas | VM SQL, VM SQL habilitada para Arc |
| Conclusões do DEASM | Descobertas de varredura da Internet do Gerenciamento de Superfície de Ataque Externo (DEASM) do Microsoft Defender | IP público |
| Contentor privilegiado | Indica que um contêiner do Kubernetes é executado em um modo privilegiado | Contêiner Kubernetes |
| Usa a rede host | Indica que um pod do Kubernetes usa o namespace de rede de sua máquina host | Cápsula do Kubernetes |
| Tem vulnerabilidades de alta gravidade | Indica que um recurso tem vulnerabilidades de alta gravidade | Azure VM, AWS EC2, imagem de contêiner, instância de VM do GCP |
| Vulnerável à execução remota de código | Indica que um recurso tem vulnerabilidades que permitem a execução remota de código | Azure VM, AWS EC2, imagem de contêiner, instância de VM do GCP |
| Metadados IP públicos | Lista os metadados de um IP público | IP público |
| Metadados de identidade | Lista os metadados de uma identidade | Identidade do Microsoft Entra |
Ligações
| Connection | Description | Tipos de entidade de origem | Tipos de entidade de destino |
|---|---|---|---|
| Pode autenticar como | Indica que um recurso do Azure pode se autenticar em uma identidade e usar seus privilégios | Azure VM, Azure VMSS, Conta de Armazenamento do Azure, Serviços de Aplicativo do Azure, SQL Servers | Identidade gerenciada do Microsoft Entra |
| Tem permissão para | Indica que uma identidade tem permissões para um recurso ou um grupo de recursos | Conta de usuário do Microsoft Entra, identidade gerenciada, usuário do IAM, instância do EC2 | Todos os recursos da AWS do Azure & |
| Contains | Indica que a entidade de origem contém a entidade de destino | Assinatura do Azure, grupo de recursos do Azure, conta da AWS, namespace do Kubernetes, pod do Kubernetes, cluster do Kubernetes, proprietário do GitHub, projeto do Azure DevOps, organização do Azure DevOps, servidor SQL do Azure, Cluster RDS, Instância do RDS, projeto GCP, Pasta do GCP, Organização do GCP | Todos os recursos do Azure, AWS e GCP, Todas as entidades Kubernetes, Todas as entidades DevOps, Banco de Dados SQL do Azure, Instância RDS, Banco de Dados de Instância RDS |
| Encaminha o tráfego para | Indica que a entidade de origem pode rotear o tráfego de rede para a entidade de destino | IP público, Load Balancer, VNET, Sub-rede, VPC, Internet Gateway, serviço Kubernetes, pod Kubernetes | Azure VM, Azure VMSS, AWS EC2, Subnet, Load Balancer, Internet gateway, Kubernetes pod, Kubernetes service, GCP VM instance, GCP instance group |
| Está em execução | Indica que a entidade de origem está executando a entidade de destino como um processo | VM do Azure, EC2, contêiner do Kubernetes | SQL, Arc-Enabled SQL, Hosted MongoDB, Hosted MySQL, Hosted Oracle, Hosted PostgreSQL, Hosted SQL Server, Imagem de contêiner, Kubernetes pod |
| Membro da | Indica que a identidade de origem é um membro do grupo de identidades de destino | Grupo Microsoft Entra, usuário Microsoft Entra | Grupo Microsoft Entra |
| Mantém | Indica que a entidade Kubernetes de origem gerencia o ciclo de vida da entidade Kubernetes de destino | Controlador de carga de trabalho do Kubernetes, conjunto de réplicas do Kubernetes, conjunto stateful do Kubernetes, conjunto de daemon do Kubernetes, trabalhos do Kubernetes, trabalho cron do Kubernetes | Cápsula do Kubernetes |