Список ссылок на пути атаки и компоненты графа облачной безопасности
В этой статье перечислены пути атаки, подключения и аналитические сведения, используемые в Службе управления безопасностью Cloud Security Defender (CSPM).
- Необходимо включить CSPM Defender для просмотра путей атаки.
- То, что вы видите в вашей среде, зависит от ресурсов, которые вы защищаете, и настраиваемой конфигурации.
Дополнительные сведения о графе облачной безопасности, анализе пути атаки и обозревателе облачной безопасности.
Пути атаки
Виртуальные машины Azure
Предварительные требования. Список необходимых компонентов см. в таблице доступности для путей атаки.
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Доступная в Интернете виртуальная машина имеет высокий уровень серьезности уязвимостей | Виртуальная машина доступен из Интернета и имеет высокий уровень уязвимостей. |
| Доступная в Интернете виртуальная машина имеет высокий уровень уязвимостей и высокий уровень разрешений на подписку | Виртуальная машина доступен из Интернета, имеет высокий уровень уязвимостей, а также удостоверение и разрешение на подписку. |
| Доступная в Интернете виртуальная машина имеет высокий уровень уязвимостей и разрешение на чтение хранилища данных с конфиденциальными данными | Виртуальная машина доступен из Интернета, имеет высокий уровень серьезности уязвимостей и разрешение на чтение в хранилище данных с конфиденциальными данными. Предварительные требования. Включение безопасности с учетом данных для учетных записей хранения в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
| Доступная в Интернете виртуальная машина имеет высокий уровень серьезности уязвимостей и разрешение на чтение в хранилище данных | Виртуальная машина доступен из Интернета и имеет высокий уровень уязвимостей и разрешение на чтение в хранилище данных. |
| Доступная к Интернету виртуальная машина имеет высокий уровень серьезности уязвимостей и разрешение на чтение в Key Vault | Виртуальная машина доступен из Интернета и имеет высокий уровень уязвимостей и разрешение на чтение в хранилище ключей. |
| У виртуальной машины есть уязвимости с высоким уровнем серьезности и высокий уровень разрешений для подписки | Виртуальная машина имеет высокий уровень серьезности уязвимостей и имеет высокий уровень разрешений на подписку. |
| У виртуальной машины есть уязвимости с высоким уровнем серьезности и разрешение на чтение хранилища данных с конфиденциальными данными | Виртуальная машина имеет высокий уровень уязвимостей и разрешение на чтение хранилища данных, содержащего конфиденциальные данные. Предварительные требования. Включение безопасности с учетом данных для учетных записей хранения в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
| Виртуальная машина имеет уязвимости с высоким уровнем серьезности и разрешение на чтение в хранилище ключей | Виртуальная машина имеет высокий уровень серьезности уязвимостей и разрешение на чтение в хранилище ключей. |
| У виртуальной машины есть уязвимости с высоким уровнем серьезности и разрешение на чтение в хранилище данных | Виртуальная машина имеет высокий уровень уязвимостей и разрешение на чтение в хранилище данных. |
| Доступная в Интернете виртуальная машина имеет высокий уровень серьезности и небезопасный закрытый ключ SSH, который может пройти проверку подлинности на другой виртуальной машине. | Виртуальная машина Azure доступен из Интернета, имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности в другом экземпляре AWS EC2. |
| Доступная в Интернете виртуальная машина имеет высокий уровень серьезности уязвимостей и имеет небезопасный секрет, используемый для проверки подлинности на СЕРВЕРе SQL Server. | Виртуальная машина Azure доступен из Интернета, имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности на СЕРВЕРе SQL Server. |
| Виртуальная машина имеет уязвимости с высоким уровнем серьезности и имеет небезопасный секрет, используемый для проверки подлинности на сервере SQL Server. | Виртуальная машина Azure имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности на сервере SQL Server. |
| У виртуальной машины есть уязвимости с высоким уровнем серьезности и небезопасный секретный текст, используемый для проверки подлинности в учетной записи хранения. | Виртуальная машина Azure имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности в учетной записи хранения Azure. |
| Доступная в Интернете виртуальная машина имеет уязвимости с высоким уровнем серьезности и имеет небезопасный секрет, используемый для проверки подлинности в учетной записи хранения. | Виртуальная машина Azure доступен из Интернета, имеет высокий уровень уязвимостей и секрет, который может пройти проверку подлинности в учетной записи хранения Azure. |
Экземпляры AWS EC2
Необходимые условия: включение проверки без агента.
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Экземпляр EC2, предоставляемый в Интернете, имеет уязвимости с высоким уровнем серьезности и высокий уровень разрешений для учетной записи. | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень уязвимостей и имеет разрешение на учетную запись. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и разрешение на чтение для базы данных | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень серьезности уязвимостей и имеет разрешение на базу данных. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и разрешение на чтение для контейнера S3 | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень уязвимостей и имеет роль IAM, связанную с разрешением на контейнер S3 через политику IAM, или через политику контейнера IAM или через политику контейнера IAM или через политику IAM и политику контейнера. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и разрешение на чтение контейнера S3 с конфиденциальными данными | Экземпляр AWS EC2 доступен из Интернета с высоким уровнем серьезности уязвимостей и имеет роль IAM, подключенную с разрешением на контейнер S3, содержащий конфиденциальные данные через политику IAM, или через политику контейнера IAM или через политику IAM и политику контейнеров. Предварительные требования. Включение безопасности с поддержкой данных для контейнеров S3 в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и разрешение на чтение для KMS | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень серьезности уязвимостей и имеет роль IAM, связанную с разрешением на служба управления ключами AWS (KMS) через политику IAM или через политику AWS служба управления ключами (KMS) или через политику IAM и политику AWS KMS. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей | Экземпляр AWS EC2 доступен из Интернета и имеет высокий уровень уязвимостей. |
| Экземпляр EC2 с уязвимостями с высоким уровнем серьезности имеет разрешения с высоким уровнем привилегий для учетной записи. | Экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет разрешения на учетную запись. |
| Экземпляр EC2 с уязвимостями с высоким уровнем серьезности имеет разрешения на чтение в хранилище данных | Экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет роль IAM, которая предоставляется с разрешениями на контейнер S3 через политику IAM или через политику контейнера или через политику контейнера IAM или через политику IAM и политику контейнера. |
| Экземпляр EC2 с уязвимостями с высоким уровнем серьезности имеет разрешения на чтение хранилища данных с конфиденциальными данными | Экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет роль IAM, которая предоставляется с разрешениями на контейнер S3, содержащий конфиденциальные данные через политику IAM или через политику контейнера, или через политику IAM и контейнер. Предварительные требования. Включение безопасности с поддержкой данных для контейнеров S3 в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
| Экземпляр EC2 с высоким уровнем серьезности уязвимостей имеет разрешения на чтение ключа KMS. | Экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет роль IAM, которая предоставляется с разрешениями на ключ AWS служба управления ключами (KMS) через политику IAM или через политику AWS служба управления ключами (KMS) или через политику IAM и AWS KMS. |
| Экземпляр EC2 в Интернете имеет высокий уровень серьезности и небезопасный закрытый ключ SSH, который может пройти проверку подлинности в другом экземпляре AWS EC2. | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности в другом экземпляре AWS EC2. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень уязвимостей и имеет небезопасный секрет, используемый для проверки подлинности в ресурсе RDS. | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности в ресурсе AWS RDS. |
| Экземпляр EC2 имеет высокий уровень серьезности уязвимостей и имеет небезопасный секретный текст, используемый для проверки подлинности в ресурсе RDS. | Экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет закрытый ключ SSH с открытым текстом, который может пройти проверку подлинности в ресурсе AWS RDS. |
| В Интернете экземпляр AWS EC2 имеет высокий уровень серьезности уязвимостей и имеет небезопасный секрет, имеющий разрешение на сегмент S3 через политику IAM, или через политику контейнера или через политику IAM и политику контейнера. | Экземпляр AWS EC2 доступен из Интернета, имеет высокий уровень уязвимостей и имеет небезопасный секрет, имеющий разрешения на контейнер S3 через политику IAM, политику контейнера или оба |
Экземпляры виртуальных машин GCP
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Экземпляр виртуальной машины, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей | Экземпляр виртуальной машины GCP "[vmInstanceName]" доступен из Интернета и имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода]. |
| Экземпляр виртуальной машины, предоставляемый в Интернете с высоким уровнем серьезности уязвимостей, имеет разрешения на чтение в хранилище данных | Экземпляр виртуальной машины GCP "[VMInstanceName], доступен из Интернета, имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет разрешения на чтение в хранилище данных. |
| Экземпляр виртуальной машины, предоставляемый в Интернете с высоким уровнем серьезности уязвимостей, имеет разрешения на чтение хранилища данных с конфиденциальными данными | Экземпляр виртуальной машины GCP "[VMInstanceName]" доступен из Интернета, имеет высокий уровень уязвимостей, что позволяет удаленному выполнению кода на компьютере и назначен учетной записи службы с разрешением на чтение для контейнера GCP служба хранилища "[BucketName]" с конфиденциальными данными. |
| Экземпляр виртуальной машины, предоставляемый в Интернете, имеет высокий уровень уязвимостей и высокий уровень разрешений для проекта | Экземпляр виртуальной машины GCP "[VMInstanceName]" доступен из Интернета, имеет высокий уровень уязвимостей[удаленное выполнение кода] и имеет разрешение "[Разрешения]" для проекта "[Имя_проекта]". |
| Экземпляр виртуальной машины, предоставляемый в Интернете с высоким уровнем серьезности уязвимостей, имеет разрешения на чтение для диспетчера секретов | Экземпляр виртуальной машины GCP "[VMInstanceName]" доступен из Интернета, имеет высокий уровень уязвимостей [удаленное выполнение кода] и имеет разрешения на чтение с помощью политики IAM для секрета GCP Secret Manager "[SecretName]". |
| Экземпляр виртуальной машины, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и установленную размещенную базу данных. | Экземпляр виртуальной машины GCP "[VMInstanceName]" с размещенной базой данных [DatabaseType] доступен из Интернета и имеет высокий уровень уязвимостей. |
| Доступная в Интернете виртуальная машина с высоким уровнем серьезности уязвимостей имеет закрытый ключ SSH с открытым текстом | Экземпляр виртуальной машины GCP "[MachineName]" доступен из Интернета, имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет закрытый ключ SSH с открытым текстом [SSHPrivateKey]. |
| Экземпляр виртуальной машины с уязвимостями с высоким уровнем серьезности имеет разрешения на чтение в хранилище данных | Экземпляр виртуальной машины GCP "[VMInstanceName]" имеет высокий уровень серьезности уязвимостей[удаленное выполнение кода] и имеет разрешения на чтение в хранилище данных. |
| Экземпляр виртуальной машины с уязвимостями с высоким уровнем серьезности имеет разрешения на чтение хранилища данных с конфиденциальными данными | Экземпляр виртуальной машины GCP "[VMInstanceName]" имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет разрешения на чтение для контейнера GCP служба хранилища "[Имя_контейнера]" с конфиденциальными данными. |
| Экземпляр виртуальной машины имеет уязвимости с высоким уровнем серьезности и высокий уровень разрешений для проекта | Экземпляр виртуальной машины GCP "[VMInstanceName]" имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет разрешение "[Разрешения]" для проекта "[Имя_проекта]". |
| Экземпляр виртуальной машины с уязвимостями с высоким уровнем серьезности имеет разрешения на чтение в диспетчере секретов | Экземпляр виртуальной машины GCP "[VMInstanceName]" имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет разрешения на чтение с помощью политики IAM для секрета GCP Secret Manager "[SecretName]. |
| Экземпляр виртуальной машины с уязвимостями с высоким уровнем серьезности имеет закрытый ключ SSH с открытым текстом | Экземпляр виртуальной машины GCP для выравнивания по всем другим путям атаки. Виртуальная машина "[Имя_машины]" имеет высокий уровень серьезности уязвимостей [удаленное выполнение кода] и имеет закрытый ключ SSH с открытым текстом [SSHPrivateKey]. |
Данные Azure
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Sql, предоставляемый в Интернете на виртуальной машине, имеет учетную запись пользователя с часто используемым именем пользователя и разрешает выполнение кода на виртуальной машине. | SQL на виртуальной машине доступен из Интернета, имеет учетную запись локального пользователя с часто используемым именем пользователя (который подвержен атакам методом подбора) и имеет уязвимости, позволяющие выполнять код и боковое перемещение на базовую виртуальную машину. Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| Доступ к Интернету SQL на виртуальной машине имеет учетную запись пользователя с часто используемым именем пользователя и известными уязвимостями | SQL на виртуальной машине доступен из Интернета, имеет локальную учетную запись пользователя с часто используемым именем пользователя (который подвержен атакам подбора) и имеет известные уязвимости (CVEs). Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| SQL на виртуальной машине имеет учетную запись пользователя с часто используемым именем пользователя и разрешает выполнение кода на виртуальной машине. | SQL на виртуальной машине имеет локальную учетную запись пользователя с часто используемым именем пользователя (которое подвержено атакам методом подбора) и имеет уязвимости, позволяющие выполнять код и боковое перемещение на базовую виртуальную машину. Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| SQL на виртуальной машине имеет учетную запись пользователя с часто используемым именем пользователя и известными уязвимостями | SQL на виртуальной машине имеет локальную учетную запись пользователя с часто используемым именем пользователя (которое подвержено атакам подбора) и имеет известные уязвимости (CVEs). Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| Управляемая база данных с чрезмерным доступом в Интернете позволяет выполнять обычную проверку подлинности (локальный пользователь или пароль) | Доступ к базе данных можно получить через Интернет из любого общедоступного IP-адреса и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных для атак подбора. |
| Управляемая база данных с чрезмерной уязвимостью в Интернете и конфиденциальными данными позволяет выполнять базовую проверку подлинности (локальный пользователь или пароль) (предварительная версия) | Доступ к базе данных можно получить через Интернет из любого общедоступного IP-адреса и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных с конфиденциальными данными для атак подбора. |
| Доступная в Интернете управляемая база данных с конфиденциальными данными позволяет выполнять обычную проверку подлинности (локальный пользователь или пароль) (предварительная версия) | Доступ к базе данных можно получить через Интернет из определенных ip-адресов или диапазонов IP-адресов и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных с конфиденциальными данными для атак методом подбора. |
| Доступная в Интернет виртуальная машина имеет уязвимости с высоким уровнем серьезности, а размещенная база данных установлена (предварительная версия) | Злоумышленник с сетевым доступом к компьютеру базы данных может использовать уязвимости и получить удаленное выполнение кода. |
| Частный контейнер хранилища BLOB-объектов Azure реплика tes в Интернет, предоставляемый и общедоступный контейнер хранилища BLOB-объектов Azure | Внутренний контейнер хранилища Azure реплика отправляет свои данные в другой контейнер хранилища Azure, доступный из Интернета, и разрешает общедоступный доступ и представляет угрозу для этих данных. |
| Доступ к интернету Хранилище BLOB-объектов Azure контейнера с конфиденциальными данными является общедоступным | Контейнер учетной записи хранения BLOB-объектов с конфиденциальными данными доступен из Интернета и разрешает общедоступный доступ на чтение без авторизации. Предварительные требования. Включение безопасности с поддержкой данных для учетных записей хранения в CSPM Defender. |
Данные AWS
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Интернет, предоставляемый контейнерОМ AWS S3 с конфиденциальными данными, является общедоступным | Контейнер S3 с конфиденциальными данными доступен из Интернета и разрешает общедоступный доступ на чтение без авторизации. Предварительные требования. Включение безопасности с поддержкой данных для контейнеров S3 в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
| Экземпляр SQL, предоставляемый в Интернете в EC2, имеет учетную запись пользователя с часто используемым именем пользователя и разрешает выполнение кода на базовых вычислительных ресурсах. | В экземпляре EC2, предоставленном в Интернете, есть учетная запись пользователя с часто используемым именем пользователя и позволяет выполнять код на базовых вычислительных ресурсах. Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах. |
| Экземпляр SQL, предоставляемый в Интернете в EC2, имеет учетную запись пользователя с часто используемым именем пользователя и известными уязвимостями. | Sql на экземпляре EC2 доступен из Интернета, имеет локальную учетную запись пользователя с часто используемым именем пользователя (который подвержен атакам подбора) и имеет известные уязвимости (CVEs). Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| SQL в экземпляре EC2 имеет учетную запись пользователя с часто используемым именем пользователя и позволяет выполнять код на базовых вычислительных ресурсах. | Sql на экземпляре EC2 имеет локальную учетную запись пользователя с часто используемым именем пользователя (который подвержен атакам методом подбора) и имеет уязвимости, позволяющие выполнять код и боковое перемещение в базовые вычислительные ресурсы. Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| Sql в экземпляре EC2 имеет учетную запись пользователя с часто используемым именем пользователя и известными уязвимостями | SQL на экземпляре EC2 [EC2Name] имеет локальную учетную запись пользователя с часто используемым именем пользователя (который подвержен атакам методом подбора) и имеет известные уязвимости (CVEs). Предварительные требования. Включение Microsoft Defender для серверов SQL на компьютерах |
| Управляемая база данных с чрезмерным доступом в Интернете позволяет выполнять обычную проверку подлинности (локальный пользователь или пароль) | Доступ к базе данных можно получить через Интернет из любого общедоступного IP-адреса и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных для атак подбора. |
| Управляемая база данных с чрезмерной уязвимостью в Интернете и конфиденциальными данными позволяет выполнять базовую проверку подлинности (локальный пользователь или пароль) (предварительная версия) | Доступ к базе данных можно получить через Интернет из любого общедоступного IP-адреса и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных с конфиденциальными данными для атак подбора. |
| Доступная в Интернете управляемая база данных с конфиденциальными данными позволяет выполнять обычную проверку подлинности (локальный пользователь или пароль) (предварительная версия) | Доступ к базе данных можно получить через Интернет из определенных ip-адресов или диапазонов IP-адресов и разрешает проверку подлинности с помощью имени пользователя и пароля (базовый механизм проверки подлинности), который предоставляет базу данных с конфиденциальными данными для атак методом подбора. |
| Экземпляр EC2, предоставляемый в Интернете, имеет высокий уровень серьезности уязвимостей и установленную размещенную базу данных (предварительная версия) | Злоумышленник с сетевым доступом к компьютеру базы данных может использовать уязвимости и получить удаленное выполнение кода. |
| Частные контейнеры AWS S3 реплика tes в Интернет, предоставляемые и общедоступные контейнеры AWS S3 | Внутренний контейнер AWS S3 реплика отправляет свои данные в другой контейнер S3, доступный из Интернета, и обеспечивает общедоступный доступ и представляет собой риск для этих данных. |
| Моментальный снимок RDS доступен для всех учетных записей AWS (предварительная версия) | Моментальный снимок экземпляра или кластера RDS доступен всеми учетными записями AWS. |
| Экземпляр SQL, предоставляемый в Интернете в EC2, имеет учетную запись пользователя с часто используемым именем пользователя и разрешает выполнение кода на базовых вычислительных ресурсах (предварительная версия) | Sql на экземпляре EC2 доступен из Интернета, имеет локальную учетную запись пользователя с часто используемым именем пользователя (что подвержено атакам подбора) и имеет уязвимости, позволяющие выполнять код и боковое перемещение в базовые вычислительные ресурсы. |
| В экземпляре EC2 в Интернете доступна учетная запись пользователя с общим именем пользователя и известными уязвимостями (предварительная версия) | Sql на экземпляре EC2 доступен из Интернета, имеет локальную учетную запись пользователя с часто используемым именем пользователя (что подвержено атакам подбора) и имеет известные уязвимости (CVEs) |
| SQL в экземпляре EC2 имеет учетную запись пользователя с часто используемым именем пользователя и позволяет выполнять код на базовом вычислительном сервере (предварительная версия) | Sql в экземпляре EC2 имеет локальную учетную запись пользователя с часто используемым именем пользователя (который подвержен атакам подбора), а также имеет уязвимости, позволяющие выполнять код и боковое перемещение в базовые вычислительные ресурсы. |
| SQL в экземпляре EC2 имеет учетную запись пользователя с часто используемым именем пользователя и известными уязвимостями (предварительная версия) | Sql на экземпляре EC2 имеет локальную учетную запись пользователя с часто используемым именем пользователя (что подвержено атакам методом подбора) и имеет известные уязвимости (CVEs) |
| Частные контейнеры AWS S3 реплика tes в Интернет, предоставляемые и общедоступные контейнеры AWS S3 | Частный контейнер AWS S3 — это реплика отправки данных в Интернет и общедоступного контейнера AWS S3 |
| Частный контейнер AWS S3 с конфиденциальными данными реплика tes в Интернет, предоставляемый и общедоступный контейнер AWS S3 | Частный контейнер AWS S3 с конфиденциальными данными реплика для доступа к Интернету и общедоступному контейнеру AWS S3 |
| Моментальный снимок RDS доступен для всех учетных записей AWS (предварительная версия) | Моментальный снимок RDS доступен для всех учетных записей AWS |
Данные GCP
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| GCP служба хранилища Контейнер с конфиденциальными данными является общедоступным | GCP служба хранилища Контейнер [BucketName] с конфиденциальными данными позволяет общедоступному доступу на чтение без авторизации. |
Контейнеры Azure
Предварительные требования. Включение состояния контейнера без агента. Это также дает возможность запрашивать рабочие нагрузки плоскости данных контейнеров в обозревателе безопасности.
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Модуль pod Kubernetes, предоставляемый в Интернете, выполняет контейнер с уязвимостями RCE | Модуль pod Kubernetes, предоставляемый в Интернете, выполняет контейнер с использованием образа с уязвимостями, позволяющими выполнять удаленный код. |
| Модуль pod Kubernetes, работающий в Интернете, использует сеть узлов с уязвимостями RCE. | Модуль pod Kubernetes в пространстве имен с включенным сетевым доступом узла предоставляется в Интернете через сеть узла. Модуль pod выполняет контейнер с помощью образа, который содержит уязвимости, позволяющие выполнять удаленный код. |
Репозитории GitHub
Предварительные требования. Включение Defender для DevOps.
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Репозиторий GitHub с открытым текстом доступен в Интернете (предварительная версия) | Репозиторий GitHub доступен из Интернета, разрешает общедоступный доступ на чтение без авторизации и содержит секреты открытого текста. |
Программные интерфейсы
Предварительные требования. Включение Defender для API.
| Отображаемое имя пути атаки | Описание пути атаки |
|---|---|
| Доступ к Интернету API, не прошедших проверку подлинности, несут конфиденциальные данные | API Управление API Azure доступен из Интернета, содержит конфиденциальные данные и не включает проверку подлинности, что приводит к тому, что злоумышленники используют API для кражи данных. |
Список компонентов графа облачной безопасности
В этом разделе перечислены все компоненты графа облачной безопасности (подключения и аналитические сведения), которые можно использовать в запросах с облачным обозревателем безопасности.
Аналитика
| Полезные сведения | Description | Поддерживаемые сущности |
|---|---|---|
| Доступ к Интернету | Указывает, что ресурс предоставляется в Интернете. Поддерживает фильтрацию портов. Подробнее | Виртуальная машина Azure, AWS EC2, учетная запись хранения Azure, сервер SQL Azure, Azure Cosmos DB, AWS S3, kubernetes pod, Управляемый экземпляр SQL Azure, отдельный сервер Azure MySQL, гибкий сервер Azure MySQL, отдельный сервер Azure PostgreSQL, гибкий сервер Azure MariaDB, рабочая область Synapse, экземпляр виртуальной машины GCP, экземпляр GCP SQL |
| Разрешает обычную проверку подлинности (предварительная версия) | Указывает, что ресурс разрешает базовую проверку подлинности (локальный пользователь или пароль или ключ) | Azure SQL Server, экземпляр RDS, отдельный сервер Azure MariaDB, отдельный сервер Azure MySQL, гибкий сервер Azure MySQL, рабочая область Synapse, отдельный сервер Azure PostgreSQL, Управляемый экземпляр SQL Azure |
| Содержит конфиденциальные данные Предварительные требования. Включение безопасности с учетом данных для учетных записей хранения в CSPM Defender или использование Каталог данных Microsoft Purview для защиты конфиденциальных данных. |
Указывает, что ресурс содержит конфиденциальные данные. | Обнаружение конфиденциальных данных MDC: служба хранилища Azure учетная запись, контейнер учетной записи служба хранилища Azure, контейнер AWS S3, Azure SQL Server (предварительная версия), База данных SQL Azure (предварительная версия), экземпляр RDS (предварительная версия), база данных экземпляра RDS (предварительная версия), кластер RDS (предварительная версия) Обнаружение конфиденциальных данных Purview (предварительная версия): учетная запись служба хранилища Azure, контейнер учетной записи служба хранилища Azure, контейнер AWS S3, Azure SQL Server, База данных SQL Azure, Azure Data Lake Storage 2-го поколения База данных Azure для PostgreSQL, База данных Azure для MySQL, Azure Synapse Analytics, учетные записи Azure Cosmos DB, контейнер облачного хранилища GCP |
| Перемещение данных в (предварительная версия) | Указывает, что ресурс передает данные другому ресурсу. | контейнер учетной записи служба хранилища, экземпляр AWS S3, экземпляр AWS RDS, кластер AWS RDS |
| Получает данные из (предварительная версия) | Указывает, что ресурс получает данные из другого ресурса | контейнер учетной записи служба хранилища, экземпляр AWS S3, экземпляр AWS RDS, кластер AWS RDS |
| Имеет теги | Список тегов ресурсов облачного ресурса | Все ресурсы Azure, AWS и GCP |
| Установленное программное обеспечение | Выводит список всех программ, установленных на компьютере. Эта информация применима только для виртуальных машин, которые имеют контроль угроз и уязвимостей интеграцию с Defender для облака и подключены к Defender для облака. | Виртуальная машина Azure, AWS EC2 |
| Разрешает общедоступный доступ | Указывает, что общедоступный доступ на чтение разрешен к ресурсу без авторизации. Подробнее | Учетная запись хранения Azure, контейнер AWS S3, репозиторий GitHub, контейнер облачного хранилища GCP |
| Не включена многофакторная проверка подлинности | Указывает, что учетная запись пользователя не включена многофакторная проверка подлинности. | Учетная запись пользователя Microsoft Entra, пользователь IAM |
| Внешний пользователь | Указывает, что учетная запись пользователя находится за пределами домена организации | Учетная запись пользователя Microsoft Entra |
| Управляется | Указывает, что удостоверение управляется поставщиком облачных служб. | Управляемое удостоверение Azure |
| Содержит общие имена пользователей | Указывает, что сервер SQL Server имеет учетные записи пользователей с общими именами пользователей, которые подвержены атакам подбора. | Виртуальная машина SQL с поддержкой Arc |
| Может выполнять код на узле | Указывает, что SQL Server позволяет выполнять код на базовой виртуальной машине с помощью встроенного механизма, например xp_cmdshell. | Виртуальная машина SQL с поддержкой Arc |
| Наличие уязвимостей | Указывает, что на сервере SQL Server ресурсов обнаружены уязвимости | Виртуальная машина SQL с поддержкой Arc |
| Выводы DEASM | Управление направлением внешних атак Microsoft Defender (DEASM) результаты сканирования в Интернете | Общедоступный IP-адрес |
| Привилегированный контейнер | Указывает, что контейнер Kubernetes выполняется в привилегированном режиме. | Контейнер Kubernetes |
| Использует сеть узлов | Указывает, что модуль pod Kubernetes использует сетевое пространство имен своего хост-компьютера. | модуле pod Kubernetes |
| Наличие уязвимостей с высоким уровнем серьезности | Указывает, что ресурс имеет высокий уровень серьезности уязвимостей | Виртуальная машина Azure, AWS EC2, образ контейнера, экземпляр виртуальной машины GCP |
| Уязвимость к удаленному выполнению кода | Указывает, что ресурс имеет уязвимости, позволяющие удаленному выполнению кода | Виртуальная машина Azure, AWS EC2, образ контейнера, экземпляр виртуальной машины GCP |
| Метаданные общедоступного IP-адреса | Список метаданных общедоступного IP-адреса | Общедоступный IP-адрес |
| Метаданные удостоверения | Список метаданных удостоверения | Удостоверение Microsoft Entra |
Подключения
| Connection | Description | Типы исходных сущностей | Типы сущностей назначения |
|---|---|---|---|
| Может пройти проверку подлинности как | Указывает, что ресурс Azure может пройти проверку подлинности в удостоверении и использовать его привилегии. | Виртуальная машина Azure, azure VMSS, учетная запись служба хранилища Azure, службы приложение Azure, серверы SQL Server | Управляемое удостоверение Microsoft Entra |
| Имеет разрешение на | Указывает, что удостоверение имеет разрешения на ресурс или группу ресурсов | Учетная запись пользователя Microsoft Entra, Управляемое удостоверение, пользователь IAM, экземпляр EC2 | Все ресурсы Azure & AWS |
| Содержит | Указывает, что исходная сущность содержит целевую сущность | Подписка Azure, группа ресурсов Azure, учетная запись AWS, пространство имен Kubernetes, pod Kubernetes, кластер Kubernetes, владелец GitHub, проект Azure DevOps, организация Azure DevOps, azure SQL Server, кластер RDS, экземпляр RDS, проект GCP, папка GCP, организация GCP | Все ресурсы Azure, AWS и GCP, все сущности Kubernetes, все сущности DevOps, база данных SQL Azure, экземпляр RDS, база данных экземпляра RDS |
| Маршрутизация трафика в | Указывает, что исходная сущность может направлять сетевой трафик в целевую сущность. | Общедоступный IP-адрес, Load Balancer, виртуальная сеть, подсеть, VPC, Интернет-шлюз, служба Kubernetes, pod Kubernetes | Виртуальная машина Azure, Azure VMSS, AWS EC2, Подсеть, Load Balancer, Интернет-шлюз, pod Kubernetes, служба Kubernetes, экземпляр виртуальной машины GCP, группа экземпляров GCP |
| Выполняется | Указывает, что исходная сущность выполняет целевую сущность в качестве процесса | Контейнер Azure VM, EC2, Kubernetes | SQL, Arc-Enabled SQL, Hosted MongoDB, Hosted MySQL, Hosted Oracle, Hosted PostgreSQL, Hosted SQL Server, Container image, Kubernetes pod |
| Член | Указывает, что исходное удостоверение является членом целевой группы удостоверений | Группа Microsoft Entra, пользователь Microsoft Entra | Группа Microsoft Entra |
| Поддерживает | Указывает, что исходная сущность Kubernetes управляет жизненным циклом целевой сущности Kubernetes. | Контроллер рабочей нагрузки Kubernetes, набор реплика Kubernetes, набор управляющей программы Kubernetes, задания Kubernetes cron | модуле pod Kubernetes |