Azure Cosmos DB 的警示
本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 Azure Cosmos DB 的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
Azure Cosmos DB 警示
從 Tor 結束節點存取
(CosmosDB_TorAnomaly)
描述:此 Azure Cosmos DB 帳戶已成功從已知為 Tor 的作用中結束節點的 IP 位址存取,這是匿名 Proxy。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。
MITRE 策略:初始存取
嚴重性:高/中
從可疑IP存取
(CosmosDB_SuspiciousIp)
描述:此 Azure Cosmos DB 帳戶已成功從Microsoft威脅情報識別為威脅的 IP 位址存取。
MITRE 策略:初始存取
嚴重性:中
從不尋常的位置存取
(CosmosDB_GeoAnomaly)
描述:此 Azure Cosmos DB 帳戶是根據一般存取模式,從被視為不熟悉的位置存取。
威脅執行者已取得帳戶的存取權,或合法使用者已從新的或不尋常的地理位置連線
MITRE 策略:初始存取
嚴重性:低
擷取的異常數據量
(CosmosDB_DataExfiltrationAnomaly)
描述:從這個 Azure Cosmos DB 帳戶擷取了異常大量的數據。 這可能表示威脅執行者外泄數據。
MITRE 策略:外洩
嚴重性:中
透過潛在的惡意腳本擷取 Azure Cosmos DB 帳戶密鑰
(CosmosDB_SuspiciousListKeys.MaliciousScript)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了可疑的金鑰清單作業模式,以取得訂用帳戶中 Azure Cosmos DB 帳戶的金鑰。 威脅執行者會使用 Microburst 等自動化腳本來列出密鑰,並尋找他們可以存取的 Azure Cosmos DB 帳戶。
這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您環境中的 Azure Cosmos DB 帳戶,以取得惡意意圖。
或者,惡意測試人員可能會嘗試存取敏感數據,並執行橫向移動。
MITRE 策略:集合
嚴重性:中
可疑擷取 Azure Cosmos DB 帳戶密鑰
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
描述:從您的訂用帳戶擷取 Azure Cosmos DB 帳戶存取密鑰的可疑來源。 如果此來源不是合法的來源,這可能是高影響問題。 擷取的存取金鑰可完整控制相關聯資料庫和儲存在內的數據。 請參閱每個特定警示的詳細數據,以瞭解來源為何標示為可疑。
MITRE 策略:認證存取
嚴重性:高
SQL 插入:潛在的數據外洩
(CosmosDB_SqlInjection.DataExfiltration)
描述:可疑的 SQL 語句用來查詢此 Azure Cosmos DB 帳戶中的容器。
插入的語句可能會成功外泄威脅執行者未獲授權存取的數據。
由於 Azure Cosmos DB 查詢的結構和功能,Azure Cosmos DB 帳戶上的許多已知 SQL 插入式攻擊無法運作。 不過,此攻擊中使用的變化可能會運作,威脅執行者可能會外泄數據。
MITRE 策略:外洩
嚴重性:中
SQL 插入:模糊嘗試
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
描述:可疑的 SQL 語句用來查詢此 Azure Cosmos DB 帳戶中的容器。
與其他已知的 SQL 插入式攻擊一樣,此攻擊將無法成功危害 Azure Cosmos DB 帳戶。
不過,這表示威脅執行者正嘗試攻擊此帳戶中的資源,而且您的應用程式可能會遭到入侵。
某些 SQL 插入式攻擊可能會成功,並用來外洩數據。 這表示如果攻擊者繼續執行 SQL 插入式嘗試,他們可能會危害您的 Azure Cosmos DB 帳戶並外洩數據。
您可以使用參數化查詢來防止此威脅。
MITRE 策略:攻擊前
嚴重性:低
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。