Aviseringar för Azure Key Vault
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure Key Vault från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Anteckning
Några av de nyligen tillagda aviseringarna som drivs av Microsoft Defender Hotinformation och Microsoft Defender för Endpoint kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Anteckning
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Mer information och anteckningar
(KV_SuspiciousIPAccess)
Beskrivning: Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_TORAccess)
Beskrivning: Ett nyckelvalv har använts från en känd TOR-avslutningsnod. Detta kan vara en indikation på att en hotskådespelare har åtkomst till nyckelvalvet och använder TOR-nätverket för att dölja sin källplats. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_OperationVolumeAnomaly)
Beskrivning: Ett avvikande antal nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_PutGetAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande ändringsåtgärd för Valv put-princip följt av en eller flera hemliga Get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har uppdaterat nyckelvalvspolicyn för att få åtkomst till tidigare otillgängliga hemligheter. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_ListGetAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande hemlighetslista följt av en eller flera åtgärder för hemlig get. Detta mönster utförs normalt inte av den angivna användaren eller tjänstens huvudnamn och är vanligtvis associerat med hemlig dumpning. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotaktör har fått åtkomst till nyckelvalvet och försöker identifiera hemligheter som kan användas för att flytta i sidled genom nätverket och/eller få åtkomst till känsliga resurser. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_AccountVolumeAccessDeniedAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Låg
(KV_UserAccessDeniedAnomaly)
Beskrivning: En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det.
MITRE-taktik: Initial åtkomst, identifiering
Allvarlighetsgrad: Låg
(KV_AppAnomaly)
Beskrivning: Ett nyckelvalv har använts av ett huvudnamn för tjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_OperationPatternAnomaly)
Beskrivning: Ett avvikande mönster för nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_UserAnomaly)
Beskrivning: Ett nyckelvalv har använts av en användare som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_UserAppAnomaly)
Beskrivning: Ett nyckelvalv har använts av ett huvudnamnpar för användartjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_AccountVolumeAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har använt en avvikande stor mängd nyckelvalv. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till flera nyckelvalv i ett försök att komma åt hemligheterna i dem. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
(KV_SuspiciousIPAccessDenied)
Beskrivning: En misslyckad åtkomst till nyckelvalvet har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Låg
(KV_UnusualAccessSuspiciousIP)
Beskrivning: En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Anteckning
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.