Поделиться через


Оповещения для Azure Cosmos DB

В этой статье перечислены оповещения системы безопасности, которые можно получить для Azure Cosmos DB из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения в Azure Cosmos DB

Дополнительные сведения и примечания

Доступ с выходного узла Tor

(CosmosDB_TorAnomaly)

Описание. Эта учетная запись Azure Cosmos DB была успешно получена из IP-адреса, известного как активный узел выхода Tor, анонимизирующий прокси-сервер. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение.

Тактика MITRE: первоначальный доступ

Серьезность: высокий или средний

Доступ с подозрительного IP-адреса

(CosmosDB_SuspiciousIp)

Описание. Эта учетная запись Azure Cosmos DB была успешно получена из IP-адреса, который был идентифицирован как угроза microsoft Threat Intelligence.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Доступ из необычного расположения

(CosmosDB_GeoAnomaly)

Описание. Доступ к этой учетной записи Azure Cosmos DB был получен из расположения, который считается незнакомым, на основе обычного шаблона доступа.

Это означает, что злоумышленник получил доступ к учетной записи либо допустимый пользователь подключился из нового или необычного географического места.

Тактика MITRE: первоначальный доступ

Серьезность: низкая

Необычный объем извлеченных данных

(CosmosDB_DataExfiltrationAnomaly)

Описание. Из этой учетной записи Azure Cosmos DB извлекается необычно большой объем данных. Это может означать, что субъект угрозы осуществил кражу данных.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Извлечение ключей учетных записей Azure Cosmos DB с помощью потенциально вредоносного скрипта

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон операций с перечислением ключей, чтобы получить ключи учетных записей Azure Cosmos DB в подписке. Субъекты угроз используют автоматизированные скрипты, такие как Microburst, для получения списка ключей и поиска учетных записей Azure Cosmos DB, к которым у них есть доступ.

Эта операция может означать, что безопасность удостоверений в вашей организации была нарушена и что субъект угрозы пытается скомпрометировать учетные записи Azure Cosmos DB в вашей среде для вредоносных атак.

Кроме того, злоумышленник внутри организации может пытаться получить доступ к конфиденциальным данным и выполнить боковое смещение.

Тактика MITRE: Коллекция

Серьезность: средний

Подозрительное извлечение ключей учетной записи Azure Cosmos DB

(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Описание. Подозрительный источник извлек ключи доступа к учетной записи Azure Cosmos DB из подписки. Если этот источник не является законным источником, это может оказаться высокой проблемой. Извлеченный ключ доступа обеспечивает полный контроль над связанными базами данных и хранящимися в них данными. Просмотрите сведения о каждом конкретном оповещении, чтобы понять, почему источник был помечен как подозрительный.

Тактика MITRE: доступ к учетным данным

Серьезность: высокий уровень

Внедрение кода SQL: потенциальная кража данных

(CosmosDB_SqlInjection.DataExfiltration)

Описание. Подозрительный оператор SQL использовался для запроса контейнера в этой учетной записи Azure Cosmos DB.

Внедренный оператор, возможно, удалось получить доступ к данным, которые субъект угроз не имеет права на доступ.

Из-за структуры и возможностей запросов Azure Cosmos DB многие известные атаки на внедрение SQL в учетные записи Azure Cosmos DB не могут работать. Однако вариант, используемый в этой атаке, может работать, и субъекты угроз могут эксфильтровать данные.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Внедрение кода SQL: попытка маскировки

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Описание. Подозрительный оператор SQL использовался для запроса контейнера в этой учетной записи Azure Cosmos DB.

Как и другие известные атаки на внедрение SQL, эта атака не будет успешной в компрометации учетной записи Azure Cosmos DB.

Тем не менее, это признак того, что субъект угроз пытается атаковать ресурсы в этой учетной записи, и ваше приложение может быть скомпрометировано.

Некоторые атаки путем внедрения кода SQL могут успешно применяться для кражи данных. Это означает, что если злоумышленник продолжает выполнять попытки внедрения SQL, они могут скомпрометировать учетную запись Azure Cosmos DB и эксфильтровать данные.

Эту угрозу можно предотвратить с помощью параметризованных запросов.

Тактика MITRE: предварительная атака

Серьезность: низкая

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги