Alertas para o Azure Cosmos DB

Este artigo lista os alertas de segurança que você pode receber para o Azure Cosmos DB do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Azure Cosmos DB

Mais detalhes e notas

Acesso a partir de um nó de saída do Tor

(CosmosDB_TorAnomaly)

Descrição: Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anonimizado. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade.

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso a partir de um IP suspeito

(CosmosDB_SuspiciousIp)

Descrição: Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP que foi identificado como uma ameaça pelo Microsoft Threat Intelligence.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Acesso a partir de um local incomum

(CosmosDB_GeoAnomaly)

Descrição: Esta conta do Azure Cosmos DB foi acedida a partir de uma localização considerada desconhecida, com base no padrão de acesso habitual.

Um agente de ameaça obteve acesso à conta ou um usuário legítimo se conectou a partir de uma localização geográfica nova ou incomum

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Volume incomum de dados extraídos

(CosmosDB_DataExfiltrationAnomaly)

Descrição: um volume anormalmente grande de dados foi extraído desta conta do Azure Cosmos DB. Isso pode indicar que um agente de ameaça exfiltrou dados.

Táticas MITRE: Exfiltração

Gravidade: Média

Extração de chaves de contas do Azure Cosmos DB por meio de um script potencialmente mal-intencionado

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB em sua assinatura. Os agentes de ameaças usam scripts automatizados, como o Microburst, para listar chaves e encontrar contas do Azure Cosmos DB que podem acessar.

Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer contas do Azure Cosmos DB em seu ambiente para intenções maliciosas.

Alternativamente, um insider mal-intencionado pode estar tentando acessar dados confidenciais e executar movimentos laterais.

Táticas MITRE: Coleção

Gravidade: Média

Extração suspeita de chaves de conta do Azure Cosmos DB

(AzureCosmosDB_SuspiciousListKeys.Suspeito Principal)

Descrição: uma fonte suspeita extraiu chaves de acesso da conta do Azure Cosmos DB da sua assinatura. Se essa fonte não for legítima, isso pode ser um problema de alto impacto. A chave de acesso que foi extraída fornece controle total sobre os bancos de dados associados e os dados armazenados nele. Veja os detalhes de cada alerta específico para entender por que a fonte foi sinalizada como suspeita.

Táticas MITRE: Acesso a credenciais

Gravidade: alta

Injeção de SQL: potencial exfiltração de dados

(CosmosDB_SqlInjection.DataExfiltration)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

A declaração injetada pode ter conseguido exfiltrar dados que o agente de ameaça não está autorizado a acessar.

Devido à estrutura e aos recursos das consultas do Azure Cosmos DB, muitos ataques conhecidos de injeção de SQL em contas do Azure Cosmos DB não podem funcionar. No entanto, a variação usada neste ataque pode funcionar e os agentes de ameaça podem exfiltrar dados.

Táticas MITRE: Exfiltração

Gravidade: Média

Injeção de SQL: tentativa de difusão

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

Como outros ataques de injeção de SQL bem conhecidos, esse ataque não terá êxito em comprometer a conta do Azure Cosmos DB.

No entanto, é uma indicação de que um agente de ameaça está tentando atacar os recursos dessa conta e seu aplicativo pode estar comprometido.

Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar executando tentativas de injeção de SQL, poderá comprometer sua conta do Azure Cosmos DB e exfiltrar dados.

Você pode evitar essa ameaça usando consultas parametrizadas.

Táticas MITRE: Pré-ataque

Gravidade: Baixa

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos

• Alertas de segurança no Microsoft Defender for Cloud
• Gerir e responder a alertas de segurança no Microsoft Defender para a Cloud
• Exporte continuamente dados do Defender for Cloud