Referenslista över attackvägar och molnsäkerhetsgrafkomponenter
I den här artikeln visas de attackvägar, anslutningar och insikter som används i CSPM (Cloud Security Posture Management).
- Du måste aktivera Defender CSPM för att visa attackvägar.
- Vad du ser i din miljö beror på vilka resurser du skyddar och din anpassade konfiguration.
Läs mer om molnsäkerhetsdiagrammet, analys av attackvägar och molnsäkerhetsutforskaren.
Attackvägar
Virtuella Azure-datorer
Krav: En lista över förutsättningar finns i tillgänglighetstabellen för attackvägar.
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerad virtuell dator har hög allvarlighetsgrad | En virtuell dator kan nås från Internet och har sårbarheter med hög allvarlighetsgrad. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och hög behörighet till en prenumeration | En virtuell dator kan nås från Internet, har sårbarheter med hög allvarlighetsgrad samt identitet och behörighet till en prenumeration. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett datalager med känsliga data | En virtuell dator kan nås från Internet, har hög allvarlighetsgrad och läsbehörighet till ett datalager som innehåller känsliga data. Krav: Aktivera datamedveten säkerhet för lagringskonton i Defender CSPM eller utnyttja Datakatalog i Microsoft Purview för att skydda känsliga data. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett datalager | En virtuell dator kan nås från Internet och har hög allvarlighetsgrad och läsbehörighet till ett datalager. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett Key Vault | En virtuell dator kan nås från Internet och har hög allvarlighetsgrad och läsbehörighet till ett nyckelvalv. |
| Den virtuella datorn har hög allvarlighetsgrad och hög behörighet till en prenumeration | En virtuell dator har hög allvarlighetsgrad och har hög behörighet till en prenumeration. |
| Den virtuella datorn har hög allvarlighetsgrad och läsbehörighet till ett datalager med känsliga data | En virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett datalager som innehåller känsliga data. Krav: Aktivera datamedveten säkerhet för lagringskonton i Defender CSPM eller utnyttja Datakatalog i Microsoft Purview för att skydda känsliga data. |
| Den virtuella datorn har hög allvarlighetsgrad och läsbehörighet till ett nyckelvalv | En virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett nyckelvalv. |
| Den virtuella datorn har hög allvarlighetsgrad och läsbehörighet till ett datalager | En virtuell dator har hög allvarlighetsgrad och läsbehörighet till ett datalager. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och osäker privat SSH-nyckel som kan autentiseras till en annan virtuell dator | En virtuell Azure-dator kan nås från Internet, har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentisera till en annan AWS EC2-instans |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och har en osäker hemlighet som används för att autentisera till en SQL-server | En virtuell Azure-dator kan nås från Internet, har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentiseras mot en SQL-server |
| Den virtuella datorn har hög allvarlighetsgrad och har en osäker hemlighet som används för att autentisera till en SQL-server | En virtuell Azure-dator har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentiseras mot en SQL-server |
| Den virtuella datorn har hög allvarlighetsgrad och har osäker klartexthemlighet som används för att autentisera till lagringskonto | En virtuell Azure-dator har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentisera till ett Azure Storage-konto |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och har en osäker hemlighet som används för att autentisera till lagringskonto | En virtuell Azure-dator kan nås från Internet, har hög allvarlighetsgrad och har en hemlighet som kan autentiseras mot ett Azure Storage-konto |
AWS EC2-instanser
Krav: Aktivera agentlös genomsökning.
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerade EC2-instanser har hög allvarlighetsgrad och hög behörighet till ett konto | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har behörighet till ett konto. |
| Internetexponerad EC2-instans har hög allvarlighetsgrad och läsbehörighet till en databas | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har behörighet till en databas. |
| Internetexponerad EC2-instans har hög allvarlighetsgrad och läsbehörighet till S3-bucket | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har en IAM-roll kopplad med behörighet till en S3-bucket via en IAM-princip eller via en bucketprincip eller via både en IAM-princip och en bucketprincip. |
| Internetexponerad EC2-instans har hög allvarlighetsgrad och läsbehörighet till en S3-bucket med känsliga data | En AWS EC2-instans kan nås från Internet har hög allvarlighetsgrad och har en IAM-roll kopplad med behörighet till en S3-bucket som innehåller känsliga data via en IAM-princip eller via en bucketprincip eller via både en IAM-princip och bucketprincip. Krav: Aktivera datamedveten säkerhet för S3-bucketar i Defender CSPM eller använd Datakatalog i Microsoft Purview för att skydda känsliga data. |
| Internetexponerad EC2-instans har hög allvarlighetsgrad och läsbehörighet till en KMS | En AWS EC2-instans kan nås från Internet, har sårbarheter med hög allvarlighetsgrad och har en IAM-roll kopplad med behörighet till en AWS-nyckelhanteringstjänst (KMS) (KMS) via en IAM-princip eller via en AWS nyckelhanteringstjänst (KMS)-princip (KMS) eller via både en IAM-princip och en AWS KMS-princip. |
| Internetexponerade EC2-instanser har hög allvarlighetsgrad | En AWS EC2-instans kan nås från Internet och har hög allvarlighetsgrad. |
| EC2-instans med hög allvarlighetsgrad har hög behörighet till ett konto | En AWS EC2-instans har hög allvarlighetsgrad och har behörighet till ett konto. |
| EC2-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager | En AWS EC2-instans har sårbarheter med hög allvarlighetsgrad och har en IAM-roll kopplad som beviljas med behörigheter till en S3-bucket via en IAM-princip eller via en bucketprincip, eller via både en IAM-princip och en bucketprincip. |
| EC2-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager med känsliga data | En AWS EC2-instans har säkerhetsrisker med hög allvarlighetsgrad och har en IAM-roll kopplad som beviljas med behörigheter till en S3-bucket som innehåller känsliga data via en IAM-princip eller via en bucketprincip eller via både en IAM- och bucketprincip. Krav: Aktivera datamedveten säkerhet för S3-bucketar i Defender CSPM eller använd Datakatalog i Microsoft Purview för att skydda känsliga data. |
| EC2-instans med hög allvarlighetsgrad har läsbehörighet till en KMS-nyckel | En AWS EC2-instans har säkerhetsrisker med hög allvarlighetsgrad och har en IAM-roll som beviljas med behörighet till en AWS-nyckelhanteringstjänst (KMS)nyckel (KMS) via en IAM-princip eller via en AWS nyckelhanteringstjänst (KMS)-princip (KMS) eller via både en IAM- och AWS KMS-princip. |
| Internetexponerad EC2-instans har hög allvarlighetsgrad och osäker privat SSH-nyckel som kan autentiseras till en annan AWS EC2-instans | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentisera till en annan AWS EC2-instans |
| Internetexponerade EC2-instanser har hög allvarlighetsgrad och har osäkra hemligheter som används för att autentisera mot en RDS-resurs | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentiseras mot en AWS RDS-resurs |
| EC2-instansen har hög allvarlighetsgrad och har osäker klartexthemlighet som används för att autentisera till en RDS-resurs | En AWS EC2-instans har hög allvarlighetsgrad och har en privat SSH-nyckel i klartext som kan autentisera till en AWS RDS-resurs |
| Internetexponerade AWS EC2-instanser har hög allvarlighetsgrad och har osäkra hemligheter som har behörighet till S3-bucket via en IAM-princip, eller via en bucketprincip eller via både en IAM-princip och en bucketprincip. | En AWS EC2-instans kan nås från Internet, har hög allvarlighetsgrad och har osäkra hemligheter som har behörighet till S3-bucketen via en IAM-princip, en bucketprincip eller både och |
GCP VM-instanser
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerad VM-instans har hög allvarlighetsgrad | GCP VM-instansen "[VMInstanceName]" kan nås från Internet och har allvarliga säkerhetsrisker [Fjärrkodkörning]. |
| Internetexponerad VM-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager | GCP VM-instansen "[VMInstanceName]" kan nås från Internet, har hög allvarlighetsgrad[Fjärrkodkörning] och har läsbehörighet till ett datalager. |
| Internetexponerad VM-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager med känsliga data | GCP VM-instansen "[VMInstanceName]" kan nås från Internet, har sårbarheter med hög allvarlighetsgrad som tillåter fjärrkörning av kod på datorn och tilldelas med tjänstkonto med läsbehörighet till GCP Storage-bucketen "[BucketName]" som innehåller känsliga data. |
| Internetexponerad VM-instans har hög allvarlighetsgrad och hög behörighet till ett projekt | GCP VM-instansen "[VMInstanceName]" kan nås från Internet, har sårbarheter med hög allvarlighetsgrad[Fjärrkodkörning] och har behörigheten [Behörigheter] till projektet "[ProjectName]". |
| Internetexponerad VM-instans med hög allvarlighetsgrad har läsbehörighet till en Secret Manager | GCP VM-instansen "[VMInstanceName]" kan nås från Internet, har sårbarheter med hög allvarlighetsgrad[Fjärrkodkörning] och har läsbehörigheter via IAM-principen till GCP Secret Manager-hemligheten "[SecretName]". |
| Internetexponerad VM-instans har hög allvarlighetsgrad och en värdbaserad databas installerad | GCP VM-instansen "[VMInstanceName]" med en värdbaserad [DatabaseType]-databas kan nås från Internet och har hög allvarlighetsgrad. |
| Internetexponerad virtuell dator med hög allvarlighetsgrad har en privat SSH-nyckel i klartext | GCP VM-instansen "[MachineName]" kan nås från Internet, har hög allvarlighetsgrad säkerhetsrisker [Fjärrkodkörning] och har SSH-privat nyckel i klartext [SSHPrivateKey]. |
| VM-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager | GCP VM-instansen "[VMInstanceName]" har sårbarheter med hög allvarlighetsgrad[Fjärrkodkörning] och har läsbehörighet till ett datalager. |
| VM-instans med hög allvarlighetsgrad har läsbehörighet till ett datalager med känsliga data | GCP VM-instansen "[VMInstanceName]" har allvarliga säkerhetsrisker [Fjärrkodkörning] och har läsbehörighet till GCP Storage-bucketen "[BucketName]" som innehåller känsliga data. |
| VM-instansen har hög allvarlighetsgrad och hög behörighet till ett projekt | GCP VM-instansen "[VMInstanceName]" har sårbarheter med hög allvarlighetsgrad[Fjärrkodkörning] och har behörigheten [Behörigheter] till projektet "[ProjectName]". |
| VM-instans med hög allvarlighetsgrad har läsbehörighet till en Secret Manager | GCP VM-instansen "[VMInstanceName]" har sårbarheter med hög allvarlighetsgrad[Fjärrkodkörning] och har läsbehörigheter via IAM-principen till GCP Secret Manager-hemligheten "[SecretName]". |
| Vm-instans med hög allvarlighetsgrad har en privat SSH-nyckel i klartext | GCP VM-instans för att justera med alla andra attackvägar. Den virtuella datorn "[MachineName]" har allvarliga säkerhetsrisker [Fjärrkodkörning] och har en privat SSH-nyckel i klartext [SSHPrivateKey]. |
Azure-data
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerad SQL på virtuell dator har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den virtuella datorn | SQL på den virtuella datorn kan nås från Internet, har ett lokalt användarkonto med ett vanligt användarnamn (som är utsatt för råstyrkeattacker) och har sårbarheter som tillåter kodkörning och lateral förflyttning till den underliggande virtuella datorn. Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| Internetexponerad SQL på virtuell dator har ett användarkonto med vanliga användarnamn och kända sårbarheter | SQL på den virtuella datorn kan nås från Internet, har ett lokalt användarkonto med ett vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända sårbarheter (CVE). Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| SQL på virtuell dator har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den virtuella datorn | SQL på den virtuella datorn har ett lokalt användarkonto med ett vanligt användarnamn (som är utsatt för råstyrkeattacker) och har säkerhetsrisker som tillåter kodkörning och lateral förflyttning till den underliggande virtuella datorn. Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| SQL på virtuell dator har ett användarkonto med vanliga användarnamn och kända sårbarheter | SQL på den virtuella datorn har ett lokalt användarkonto med ett vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända sårbarheter (CVE). Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| Hanterad databas med överdriven Internetexponering tillåter grundläggande autentisering (lokal användare/lösenord) | Databasen kan nås via Internet från alla offentliga IP-adresser och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som gör databasen tillgänglig för råstyrkeattacker. |
| Hanterad databas med överdriven internetexponering och känsliga data tillåter grundläggande autentisering (lokal användare/lösenord) (förhandsversion) | Databasen kan nås via Internet från alla offentliga IP-adresser och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som exponerar en databas med känsliga data för råstyrkeattacker. |
| Internetexponerad hanterad databas med känsliga data tillåter grundläggande autentisering (lokal användare/lösenord) (förhandsversion) | Databasen kan nås via Internet från specifika IP-adresser eller IP-intervall och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som exponerar en databas med känsliga data för råstyrkeattacker. |
| Internetexponerad virtuell dator har hög allvarlighetsgrad och en värdbaserad databas installerad (förhandsversion) | En angripare med nätverksåtkomst till DB-datorn kan utnyttja säkerhetsriskerna och få fjärrkörning av kod. |
| Privat Azure Blob Storage-container replikerar data till internet som exponeras och offentligt tillgänglig Azure Blob Storage-container | En intern Azure-lagringscontainer replikerar sina data till en annan Azure-lagringscontainer som kan nås från Internet och som tillåter offentlig åtkomst och utgör dessa data i fara. |
| Internetexponerad Azure Blob Storage-container med känsliga data är offentligt tillgänglig | En bloblagringskontocontainer med känsliga data kan nås från Internet och ger offentlig läsåtkomst utan att auktorisering krävs. Krav: Aktivera datamedveten säkerhet för lagringskonton i Defender CSPM. |
AWS-data
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerad AWS S3 Bucket med känsliga data är offentligt tillgänglig | En S3-bucket med känsliga data kan nås från Internet och tillåter offentlig läsåtkomst utan att auktorisering krävs. Krav: Aktivera datamedveten säkerhet för S3-bucketar i Defender CSPM eller använd Datakatalog i Microsoft Purview för att skydda känsliga data. |
| Internetexponerad SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den underliggande beräkningen | Internetexponerad SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den underliggande beräkningen. Krav: Aktivera Microsoft Defender för SQL-servrar på datorer. |
| Internetexponerad SQL på EC2-instansen har ett användarkonto med vanliga användarnamn och kända sårbarheter | SQL på EC2-instansen kan nås från Internet, har ett lokalt användarkonto med ett vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända sårbarheter (CVE). Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den underliggande beräkningen | SQL på EC2-instansen har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har sårbarheter som tillåter kodkörning och lateral förflyttning till den underliggande beräkningen. Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| SQL på EC2-instansen har ett användarkonto med vanliga användarnamn och kända sårbarheter | SQL på EC2-instansen [EC2Name] har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända sårbarheter (CVE). Krav: Aktivera Microsoft Defender för SQL-servrar på datorer |
| Hanterad databas med överdriven Internetexponering tillåter grundläggande autentisering (lokal användare/lösenord) | Databasen kan nås via Internet från alla offentliga IP-adresser och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som gör databasen tillgänglig för råstyrkeattacker. |
| Hanterad databas med överdriven internetexponering och känsliga data tillåter grundläggande autentisering (lokal användare/lösenord) (förhandsversion) | Databasen kan nås via Internet från alla offentliga IP-adresser och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som exponerar en databas med känsliga data för råstyrkeattacker. |
| Internetexponerad hanterad databas med känsliga data tillåter grundläggande autentisering (lokal användare/lösenord) (förhandsversion) | Databasen kan nås via Internet från specifika IP-adresser eller IP-intervall och tillåter autentisering med användarnamn och lösenord (grundläggande autentiseringsmekanism) som exponerar en databas med känsliga data för råstyrkeattacker. |
| Internetexponerade EC2-instanser har hög allvarlighetsgrad och en värdbaserad databas installerad (förhandsversion) | En angripare med nätverksåtkomst till DB-datorn kan utnyttja säkerhetsriskerna och få fjärrkörning av kod. |
| Privat AWS S3-bucket replikerar data till internet exponerad och offentligt tillgänglig AWS S3-bucket | En intern AWS S3-bucket replikerar sina data till en annan S3-bucket som kan nås från Internet och tillåter offentlig åtkomst och utgör dessa data i riskzonen. |
| RDS-ögonblicksbild är offentligt tillgänglig för alla AWS-konton (förhandsversion) | En ögonblicksbild av en RDS-instans eller ett kluster är offentligt tillgänglig för alla AWS-konton. |
| Internetexponerad SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den underliggande beräkningen (förhandsversion) | SQL på EC2-instansen kan nås från Internet, har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har sårbarheter som tillåter kodkörning och lateral förflyttning till den underliggande beräkningen |
| Internetexponerad SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och kända sårbarheter (förhandsversion) | SQL på EC2-instansen kan nås från Internet, har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända sårbarheter (CVE) |
| SQL på EC2-instansen har ett användarkonto med vanligt användarnamn och tillåter kodkörning på den underliggande beräkningen (förhandsversion) | SQL på EC2-instansen har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har sårbarheter som tillåter kodkörning och lateral förflyttning till den underliggande beräkningen |
| SQL på EC2-instansen har ett användarkonto med vanliga användarnamn och kända sårbarheter (förhandsversion) | SQL på EC2-instansen har ett lokalt användarkonto med vanligt användarnamn (som är utsatt för råstyrkeattacker) och har kända säkerhetsrisker (CVE) |
| Privat AWS S3-bucket replikerar data till internet exponerad och offentligt tillgänglig AWS S3-bucket | Privat AWS S3-bucket replikerar data till internet exponerad och offentligt tillgänglig AWS S3-bucket |
| Privat AWS S3-bucket med känsliga data replikerar data till internet exponerade och offentligt tillgängliga AWS S3-bucketar | Privat AWS S3-bucket med känsliga data replikerar data till internet som är exponerade och offentligt tillgängliga AWS S3-bucketar |
| RDS-ögonblicksbild är offentligt tillgänglig för alla AWS-konton (förhandsversion) | RDS-ögonblicksbild är offentligt tillgänglig för alla AWS-konton |
GCP-data
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| GCP Storage Bucket med känsliga data är offentligt tillgänglig | GCP Storage Bucket [BucketName] med känsliga data tillåter offentlig läsåtkomst utan att auktorisering krävs. |
Azure-behållare
Krav: Aktivera agentlös containerstatus. Detta ger dig också möjlighet att fråga containrars dataplansarbetsbelastningar i Säkerhetsutforskaren.
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Den Internetexponerade Kubernetes-podden kör en container med RCE-sårbarheter | En Internetexponerad Kubernetes-podd i ett namnområde kör en container med hjälp av en avbildning som har säkerhetsrisker som tillåter fjärrkörning av kod. |
| Kubernetes-podd som körs på en Internetexponerad nod använder värdnätverket kör en container med RCE-sårbarheter | En Kubernetes-podd i ett namnområde med värdnätverksåtkomst aktiverad exponeras för Internet via värdnätverket. Podden kör en container med en avbildning som har säkerhetsrisker som möjliggör fjärrkörning av kod. |
GitHub-lagringsplatser
Krav: Aktivera Defender för DevOps.
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerad GitHub-lagringsplats med klartexthemlighet är offentligt tillgänglig (förhandsversion) | En GitHub-lagringsplats kan nås från Internet, ger offentlig läsåtkomst utan att auktorisering krävs och innehåller klartexthemligheter. |
API:er
Krav: Aktivera Defender för API:er.
| Visningsnamn för attacksökväg | Beskrivning av attackväg |
|---|---|
| Internetexponerade API:er som inte autentiseras bär känsliga data | Azure API Management API kan nås från Internet, innehåller känsliga data och har ingen autentisering aktiverad, vilket resulterar i att angripare utnyttjar API:er för dataexfiltrering. |
Lista över komponenter i molnsäkerhetsdiagram
I det här avsnittet visas alla komponenter i molnsäkerhetsdiagrammet (anslutningar och insikter) som kan användas i frågor med molnsäkerhetsutforskaren.
Insikter
| Insikt | Description | Entiteter som stöds |
|---|---|---|
| Exponerad för Internet | Anger att en resurs exponeras för Internet. Stöder portfiltrering. Läs mer | Virtuell Azure-dator, AWS EC2, Azure Storage-konto, Azure SQL Server, Azure Cosmos DB, AWS S3, Kubernetes-podd, Azure SQL Managed Instance, Azure MySQL – enskild server, Azure MySQL – flexibel server, Azure PostgreSQL – enskild server, Azure PostgreSQL – flexibel server, Azure MariaDB– enskild server, Synapse-arbetsyta, RDS-instans, GCP VM-instans, GCP SQL-administratörsinstans |
| Tillåter grundläggande autentisering (förhandsversion) | Anger att en resurs tillåter grundläggande autentisering (lokal användare/lösenord eller nyckelbaserad) | Azure SQL Server, RDS-instans, Azure MariaDB – enskild server, Azure MySQL – enskild server, Azure MySQL – flexibel server, Synapse-arbetsyta, Azure PostgreSQL – enskild server, Azure SQL Managed Instance |
| Innehåller känsliga data Krav: Aktivera datamedveten säkerhet för lagringskonton i Defender CSPM eller utnyttja Datakatalog i Microsoft Purview för att skydda känsliga data. |
Anger att en resurs innehåller känsliga data. | Identifiering av MDC-känsliga data: Azure Storage-konto, Azure Storage-kontocontainer, AWS S3-bucket, Azure SQL Server (förhandsversion), Azure SQL Database (förhandsversion), RDS-instans (förhandsversion), RDS-instansdatabas (förhandsversion), RDS-kluster (förhandsversion) Purview Känslig dataidentifiering (förhandsversion): Azure Storage-konto, Azure Storage-kontocontainer, AWS S3-bucket, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, Azure Cosmos DB-konton, GCP-molnlagringshink |
| Flyttar data till (förhandsversion) | Anger att en resurs överför sina data till en annan resurs | Lagringskontocontainer, AWS S3, AWS RDS-instans, AWS RDS-kluster |
| Hämtar data från (förhandsversion) | Anger att en resurs hämtar sina data från en annan resurs | Lagringskontocontainer, AWS S3, AWS RDS-instans, AWS RDS-kluster |
| Har taggar | Visar en lista över resurstaggar för molnresursen | Alla Azure-, AWS- och GCP-resurser |
| Installerad programvara | Visar en lista över all programvara som är installerad på datorn. Den här insikten gäller endast för virtuella datorer som har Hantering av hot och säkerhetsrisker integrering med Defender för molnet aktiverade och är anslutna till Defender för molnet. | Virtuell Azure-dator, AWS EC2 |
| Tillåter offentlig åtkomst | Anger att en offentlig läsåtkomst tillåts till resursen utan att någon auktorisering krävs. Läs mer | Azure Storage-konto, AWS S3-bucket, GitHub-lagringsplats, GCP-molnlagringshink |
| MFA är inte aktiverat | Anger att användarkontot inte har någon aktiverad lösning för multifaktorautentisering | Microsoft Entra-användarkonto, IAM-användare |
| Är extern användare | Anger att användarkontot ligger utanför organisationens domän | Microsoft Entra-användarkonto |
| Hanteras | Anger att en identitet hanteras av molnleverantören | Azure Managed Identity |
| Innehåller vanliga användarnamn | Anger att en SQL-server har användarkonton med vanliga användarnamn som är utsatta för råstyrkeattacker. | VIRTUELL SQL-dator, Arc-aktiverad virtuell SQL-dator |
| Kan köra kod på värden | Anger att en SQL-server tillåter körning av kod på den underliggande virtuella datorn med hjälp av en inbyggd mekanism som xp_cmdshell. | VIRTUELL SQL-dator, Arc-aktiverad virtuell SQL-dator |
| Har sårbarheter | Anger att resursen SQL-servern har upptäckt säkerhetsrisker | VIRTUELL SQL-dator, Arc-aktiverad virtuell SQL-dator |
| DEASM-resultat | internetgenomsökningsresultat för Microsoft Defender – hantering av extern attackyta (DEASM) | Offentlig IP-adress |
| Privilegierad container | Anger att en Kubernetes-container körs i ett privilegierat läge | Kubernetes-container |
| Använder värdnätverk | Anger att en Kubernetes-podd använder nätverksnamnområdet för värddatorn | Kubernetes-podd |
| Har sårbarheter med hög allvarlighetsgrad | Anger att en resurs har sårbarheter med hög allvarlighetsgrad | Azure VM, AWS EC2, Containeravbildning, GCP VM-instans |
| Sårbar för fjärrkörning av kod | Anger att en resurs har säkerhetsrisker som möjliggör fjärrkörning av kod | Azure VM, AWS EC2, Containeravbildning, GCP VM-instans |
| Offentliga IP-metadata | Visar en lista över metadata för en offentlig IP-adress | Offentlig IP-adress |
| Identitetsmetadata | Visar en lista över metadata för en identitet | Microsoft Entra-identitet |
Anslutningar
| Connection | Description | Källentitetstyper | Målentitetstyper |
|---|---|---|---|
| Kan autentiseras som | Anger att en Azure-resurs kan autentisera mot en identitet och använda dess behörigheter | Virtuell Azure-dator, Azure VMSS, Azure Storage-konto, Azure App Services, SQL-servrar | Microsoft Entra-hanterad identitet |
| Har behörighet att | Anger att en identitet har behörighet till en resurs eller en grupp med resurser | Microsoft Entra-användarkonto, hanterad identitet, IAM-användare, EC2-instans | Alla Azure & AWS-resurser |
| Innehåller | Anger att källentiteten innehåller målentiteten | Azure-prenumeration, Azure-resursgrupp, AWS-konto, Kubernetes-namnrymd, Kubernetes-podd, Kubernetes-kluster, GitHub-ägare, Azure DevOps-projekt, Azure DevOps-organisation, Azure SQL Server, RDS-kluster, RDS-instans, GCP-projekt, GCP-mapp, GCP-organisation | Alla Azure-, AWS- och GCP-resurser, alla Kubernetes-entiteter, alla DevOps-entiteter, Azure SQL-databas, RDS-instans, RDS-instansdatabas |
| Dirigerar trafik till | Anger att källentiteten kan dirigera nätverkstrafik till målentiteten | Offentlig IP-adress, lastbalanserare, VNET, undernät, VPC, Internet Gateway, Kubernetes-tjänst, Kubernetes-podd | Virtuell Azure-dator, Azure VMSS, AWS EC2, undernät, lastbalanserare, Internetgateway, Kubernetes-podd, Kubernetes-tjänst, GCP VM-instans, GCP-instansgrupp |
| Körs | Anger att källentiteten kör målentiteten som en process | Azure VM, EC2, Kubernetes-container | SQL, Arc-aktiverad SQL, Värdbaserad MongoDB, Värdbaserad MySQL, Värdhanterat Oracle, Värdbaserad PostgreSQL, Värdbaserad SQL Server, Containeravbildning, Kubernetes-podd |
| Medlem i | Anger att källidentiteten är medlem i målidentitetsgruppen | Microsoft Entra-grupp, Microsoft Entra-användare | Microsoft Entra-grupp |
| Underhåller | Anger att kubernetes-källentiteten hanterar livscykeln för kubernetes-målentiteten | Kubernetes-arbetsbelastningskontrollant, Kubernetes-replikuppsättning, Tillståndskänslig Kubernetes-uppsättning, Kubernetes-daemonuppsättning, Kubernetes-jobb, Kubernetes cron-jobb | Kubernetes-podd |