Azure Key Vault 的警示
本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 Azure 金鑰保存庫 的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
Azure 金鑰保存庫 警示
從可疑IP位址存取金鑰保存庫
(KV_SuspiciousIPAccess)
描述:Microsoft威脅情報識別為可疑IP位址的IP已成功存取密鑰保存庫。 這可能表示您的基礎結構已遭入侵。 我們建議進一步調查。 深入瞭解 Microsoft的威脅情報功能。
MITRE 策略:認證存取
嚴重性:中
從 TOR 結束節點存取金鑰保存庫
(KV_TORAccess)
描述:已從已知的 TOR 結束節點存取金鑰保存庫。 這可能表示威脅執行者已存取金鑰保存庫,並使用 TOR 網路來隱藏其來源位置。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的大量作業
(KV_OperationVolumeAnomaly)
描述:用戶、服務主體和/或特定密鑰保存庫執行了異常數目的密鑰保存庫作業。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的可疑原則變更和秘密查詢
(KV_PutGetAnomaly)
描述:用戶或服務主體已執行異常保存庫放置原則變更作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的用戶或服務主體執行。 這可能是合法的活動,但可能是威脅執行者已更新密鑰保存庫原則,以存取先前無法存取的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的可疑秘密清單和查詢
(KV_ListGetAnomaly)
描述:用戶或服務主體已執行異常秘密清單作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的使用者或服務主體執行,通常與秘密傾印相關聯。 這可能是合法的活動,但可能是表示威脅執行者已取得密鑰保存庫的存取權,並嘗試探索可用來橫向透過網路移動的秘密,並/或取得敏感性資源的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
異常拒絕存取 - 使用者存取大量密鑰保存庫遭到拒絕
(KV_AccountVolumeAccessDeniedAnomaly)
描述:用戶或服務主體在過去 24 小時內嘗試存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 我們建議進一步調查。
MITRE 策略:探索
嚴重性:低
異常存取遭拒 - 異常使用者存取密鑰保存庫遭拒
(KV_UserAccessDeniedAnomaly)
描述:未正常存取金鑰保存庫的用戶嘗試存取金鑰保存庫,此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。
MITRE 策略:初始存取、探索
嚴重性:低
不尋常的應用程式存取金鑰保存庫
(KV_AppAnomaly)
描述:通常無法存取金鑰保存庫的服務主體已存取金鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中不尋常的作業模式
(KV_OperationPatternAnomaly)
描述:金鑰保存庫作業的異常模式是由用戶、服務主體和/或特定密鑰保存庫所執行。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
不尋常的使用者存取金鑰保存庫
(KV_UserAnomaly)
描述:使用者已存取密鑰保存庫,而該保存庫通常無法加以存取。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
不尋常的使用者應用程式組存取金鑰保存庫
(KV_UserAppAnomaly)
描述:使用者服務主體組已存取密鑰保存庫,但通常無法存取密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
使用者存取大量金鑰保存庫
(KV_AccountVolumeAnomaly)
描述:用戶或服務主體已存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得多個密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
拒絕從可疑IP存取金鑰保存庫
(KV_SuspiciousIPAccessDenied)
描述:Microsoft威脅情報識別為可疑IP位址的IP嘗試密鑰保存庫存取失敗。 雖然此嘗試失敗,但表示您的基礎結構可能已遭入侵。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:低
從可疑 IP 異常存取金鑰保存庫 (非Microsoft或外部)
(KV_UnusualAccessSuspiciousIP)
描述:用戶或服務主體在過去 24 小時內嘗試從非Microsoft IP 存取金鑰保存庫的異常存取。 此異常存取模式可能是合法的活動。 這可能表示可能嘗試取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。