共用方式為


Azure 儲存體的警示

本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 Azure 儲存體 的安全性警示,以及您啟用的任何 Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。

注意

一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

Azure 儲存體 警示

進一步的詳細數據和附註

從可疑應用程式存取

(Storage.Blob_SuspiciousApp)

描述:表示可疑的應用程式已成功存取具有驗證的記憶體帳戶容器。 這可能表示攻擊者已取得存取帳戶所需的認證,並正在利用它。 這也表示在您的組織中進行的滲透測試。 適用於:Azure Blob 儲存體 Azure Data Lake Storage Gen2

MITRE 策略:初始存取

嚴重性:高/中

從可疑IP位址存取

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

描述:表示此記憶體帳戶已成功從被視為可疑的IP位址存取。 此警示由威脅情報Microsoft提供。 深入瞭解 Microsoft的威脅情報功能。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2

MITRE 策略:攻擊前

嚴重性:高/中/低

裝載在記憶體帳戶上的網路釣魚內容

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

描述:網路釣魚攻擊中使用的 URL 會指向您的 Azure 儲存體 帳戶。 此 URL 是影響Microsoft 365 使用者的網路釣魚攻擊的一部分。 通常,裝載於這類頁面上的內容旨在誘使訪客進入其公司認證或財務資訊,以進入看起來合法的網頁窗體。 此警示由威脅情報Microsoft提供。 深入瞭解 Microsoft的威脅情報功能。 適用於:Azure Blob 儲存體、Azure 檔案儲存體

MITRE 策略:集合

嚴重性:高

識別為惡意代碼散發來源的記憶體帳戶

(Storage.Files_WidespreadeAm)

描述:反惡意代碼警示指出受感染的檔案儲存在掛接至多個 VM 的 Azure 檔案共用中。 如果攻擊者取得具有已掛接 Azure 檔案共用之 VM 的存取權,他們可以使用它將惡意代碼傳播到裝載相同共用的其他 VM。 適用於:Azure 檔案儲存體

MITRE 策略:執行

嚴重性:中

潛在敏感性記憶體 Blob 容器的存取層級已變更,以允許未經驗證的公用存取

(Storage.Blob_OpenACL)

描述:警示指出有人已將記憶體帳戶中 Blob 容器的存取層級變更為「容器」層級,以允許未經驗證的(匿名)公用存取。 變更是透過 Azure 入口網站 進行的。 根據統計分析,Blob 容器會標示為可能包含敏感數據。 此分析建議,具有類似名稱的 Blob 容器或記憶體帳戶通常不會公開給公用存取。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:集合

嚴重性:中

來自 Tor 結束節點的已驗證存取權

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

描述:您記憶體帳戶中的一或多個記憶體容器/檔案共用已成功從已知為 Tor 的作用中結束節點的 IP 位址存取(匿名 Proxy)。 威脅執行者會使用 Tor 將活動追蹤回去變得困難。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2

MITRE 策略:初始存取/攻擊前

嚴重性:高/中

從不尋常的位置存取記憶體帳戶

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

描述:表示 Azure 儲存體 帳戶的存取模式有所變更。 相較於最近的活動,有人已從被視為不熟悉的IP位址存取此帳戶。 攻擊者已取得帳戶的存取權,或合法使用者已從新的或不尋常的地理位置連線。 後者的範例是來自新應用程式或開發人員的遠端維護。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2

MITRE 策略:初始存取

嚴重性:高/中/低

對記憶體容器的異常未驗證存取

(Storage.Blob_AnonymousAccessAnomaly)

描述:此記憶體帳戶未經驗證即可存取,這是常見存取模式的變更。 此容器的讀取許可權通常會經過驗證。 這可能表示威脅執行者能夠利用此記憶體帳戶中記憶體容器的公用讀取許可權。 適用於:Azure Blob 儲存體

MITRE 策略:初始存取

嚴重性:高/低

上傳至記憶體帳戶的潛在惡意代碼

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

描述:表示包含潛在惡意代碼的 Blob 已上傳至記憶體帳戶中的 Blob 容器或檔案共用。 此警示是以利用Microsoft威脅情報功能進行哈希信譽分析,其中包括病毒、特洛伊木馬、間諜軟體和勒索軟體的哈希。 潛在原因可能包括攻擊者刻意上傳惡意代碼,或合法使用者無意上傳潛在惡意 Blob。 適用於:Azure Blob 儲存體、Azure 檔案儲存體(僅適用於透過 REST API 的交易)深入瞭解Microsoft的威脅情報功能

MITRE 策略:橫向移動

嚴重性:高

已成功探索可公開存取的記憶體容器

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

描述:掃描文本或工具在過去一小時內,已成功探索記憶體帳戶中公開開啟的記憶體容器。

這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。

威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。

✔ ✖ ✖ Azure Blob 儲存體 Azure 檔案儲存體 Azure Data Lake Storage Gen2

MITRE 策略:集合

嚴重性:高/中

未成功掃描可公開存取的記憶體容器

(Storage.Blob_OpenContainersScanning.FailedAttempt)

描述:過去一小時內已執行一系列嘗試掃描公開開啟的記憶體容器。

這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。

威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。

✔ ✖ ✖ Azure Blob 儲存體 Azure 檔案儲存體 Azure Data Lake Storage Gen2

MITRE 策略:集合

嚴重性:高/低

記憶體帳戶中的異常存取檢查

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

描述:指出相較於此帳戶上最近的活動,記憶體帳戶的訪問許可權已以不尋常的方式進行檢查。 潛在的原因是攻擊者已針對未來的攻擊執行偵察。 適用於:Azure Blob 儲存體、Azure 檔案儲存體

MITRE 策略:探索

嚴重性:高/中

從記憶體帳戶擷取的異常數據量

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

描述:指出相較於此記憶體容器上的最近活動,已擷取異常大量的數據。 潛在的原因是攻擊者已從保存 Blob 記憶體的容器擷取大量數據。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2

MITRE 策略:外洩

嚴重性:高/低

不尋常的應用程式存取記憶體帳戶

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

描述:表示不尋常的應用程式已存取此記憶體帳戶。 潛在的原因是攻擊者已使用新的應用程式來存取您的記憶體帳戶。 適用於:Azure Blob 儲存體、Azure 檔案儲存體

MITRE 策略:執行

嚴重性:高/中

記憶體帳戶中的異常數據探索

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

描述:指出相較於此帳戶上最近的活動,記憶體帳戶中的 Blob 或容器已以異常方式列舉。 潛在的原因是攻擊者已針對未來的攻擊執行偵察。 適用於:Azure Blob 儲存體、Azure 檔案儲存體

MITRE 策略:執行

嚴重性:高/中

記憶體帳戶中的異常刪除

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

描述:指出與此帳戶上最近的活動相比,記憶體帳戶中已發生一或多個非預期的刪除作業。 潛在的原因是攻擊者已從記憶體帳戶中刪除數據。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2

MITRE 策略:外洩

嚴重性:高/中

對敏感性 Blob 容器的異常未驗證公用存取權 (預覽)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

描述:警示指出有人使用外部 (公用) IP 位址,存取記憶體帳戶中具有敏感數據的 Blob 容器,而不需驗證。 此存取是可疑的,因為 Blob 容器會開放給公用存取,而且通常只會透過來自內部網路(私人 IP 位址)的驗證來存取。 此存取可能表示 Blob 容器的存取層級設定錯誤,且惡意執行者可能已惡意探索公用存取。 安全性警示包含探索到的敏感性資訊內容(掃描時間、分類標籤、資訊類型和檔類型)。 深入瞭解敏感數據威脅偵測。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:初始存取

嚴重性:高

從敏感性 Blob 容器擷取的異常數據量 (預覽)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

描述:警示指出有人從記憶體帳戶中具有敏感數據的 Blob 容器擷取了異常大量數據。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:外洩

嚴重性:中

從敏感性 Blob 容器擷取的異常 Blob 數目 (預覽)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

描述:警示指出有人從記憶體帳戶中具有敏感數據的 Blob 容器擷取了異常大量的 Blob。 適用於:已啟用數據敏感度威脅偵測功能的新 Defender for Storage 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:外洩

從已知的可疑應用程式存取敏感性 Blob 容器 (預覽)

Storage.Blob_SuspiciousApp.Sensitive

描述:警示指出具有已知可疑應用程式的人員存取了記憶體帳戶中具有敏感數據的 Blob 容器,並執行已驗證的作業。
存取可能表示威脅執行者已取得認證,以使用已知的可疑應用程式來存取記憶體帳戶。 不過,存取也可能表示在組織中執行的滲透測試。 適用於:已啟用數據敏感度威脅偵測功能的新 Defender for Storage 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:初始存取

嚴重性:高

從已知的可疑 IP 位址存取敏感性 Blob 容器 (預覽)

Storage.Blob_SuspiciousIp.Sensitive

描述:警示指出有人透過Microsoft威脅情報,從與威脅情報相關聯的已知可疑IP位址存取記憶體帳戶中具有敏感數據的 Blob 容器。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 深入瞭解 Microsoft的威脅情報功能。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:攻擊前

嚴重性:高

從 Tor 結束節點存取敏感性 Blob 容器 (預覽)

Storage.Blob_TorAnomaly.Sensitive

描述:警示指出已知IP位址為 Tor 結束節點的人員存取了具有已驗證存取權之記憶體帳戶中敏感數據的 Blob 容器。 Tor 結束節點的已驗證存取,強烈表示動作專案嘗試針對可能的惡意意圖保持匿名。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:攻擊前

嚴重性:高

從不尋常的位置存取敏感性 Blob 容器 (預覽)

Storage.Blob_GeoAnomaly.Sensitive

描述:警示指出有人已從不尋常的位置存取記憶體帳戶中具有敏感數據的 Blob 容器。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:初始存取

嚴重性:中

敏感性記憶體 Blob 容器的存取層級已變更為允許未經驗證的公用存取

Storage.Blob_OpenACL.Sensitive

描述:警示指出有人已將記憶體帳戶中 Blob 容器的存取層級變更為「容器」層級,以允許未經驗證的(匿名)公用存取。 變更是透過 Azure 入口網站 進行的。 存取層級變更可能會危害數據的安全性。 建議您立即採取動作來保護數據,並在觸發此警示時防止未經授權的存取。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶,以及已啟用數據敏感度威脅偵測功能的新適用於記憶體的 Defender 方案。

MITRE 策略:集合

嚴重性:高

具有過度寬鬆 SAS 令牌的 Azure 記憶體帳戶可疑外部存取權 (預覽)

Storage.Blob_AccountSas.InternalSasUsedExternally

描述:警示指出具有外部 (公用) IP 位址的人員使用過長到期日過度寬鬆的 SAS 令牌來存取記憶體帳戶。 這種類型的存取被視為可疑,因為 SAS 令牌通常只會用於內部網路(來自私人 IP 位址)。 活動可能表示惡意執行者已洩漏 SAS 令牌,或無意中從合法來源洩漏。 即使存取合法,使用具有長時間到期日的高許可權 SAS 令牌仍會違反安全性最佳做法,並造成潛在的安全性風險。 適用於:具有適用於記憶體的新 Defender 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:外泄/資源開發/影響

嚴重性:中

具有過度寬鬆 SAS 令牌的 Azure 記憶體帳戶可疑外部作業 (預覽)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

描述:警示指出具有外部 (公用) IP 位址的人員使用過長到期日過度寬鬆的 SAS 令牌來存取記憶體帳戶。 存取會被視為可疑,因為使用此 SAS 令牌叫用到網路外部的作業(而非來自私人 IP 位址),通常用於一組特定的讀取/寫入/刪除作業,但發生其他作業,使得此存取變得可疑。 此活動可能表示惡意執行者已洩漏 SAS 令牌,或無意中從合法來源洩漏。 即使存取合法,使用具有長時間到期日的高許可權 SAS 令牌仍會違反安全性最佳做法,並造成潛在的安全性風險。 適用於:具有適用於記憶體的新 Defender 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:外泄/資源開發/影響

嚴重性:中

不尋常的 SAS 令牌用來從公用 IP 位址存取 Azure 記憶體帳戶 (預覽)

Storage.Blob_AccountSas.UnusualExternalAccess

描述:警示指出具有外部 (公用) IP 位址的人員已使用帳戶 SAS 令牌來存取記憶體帳戶。 存取是非常不尋常的,並被視為可疑,因為使用SAS令牌的記憶體帳戶存取通常只來自內部(私人)IP 位址。 惡意動作專案可能從您的組織內部或外部洩漏或產生 SAS 令牌,以取得此儲存體帳戶的存取權。 適用於:具有適用於記憶體的新 Defender 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:外泄/資源開發/影響

嚴重性:低

上傳至記憶體帳戶的惡意檔案

Storage.Blob_AM。MalwareFound

描述:警示指出惡意 Blob 已上傳至記憶體帳戶。 此安全性警示是由適用於記憶體的Defender中的惡意代碼掃描功能所產生。 潛在原因可能包括威脅執行者故意上傳惡意代碼,或合法使用者無意上傳惡意檔案。 適用於:已啟用惡意代碼掃描功能的新 Defender for Storage 方案的 Azure Blob(標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob)記憶體帳戶。

MITRE 策略:橫向移動

嚴重性:高

已從儲存體帳戶下載惡意 Blob (預覽)

Storage.Blob_MalwareDownload

描述:警示指出已從記憶體帳戶下載惡意 Blob。 潛在原因可能包括上傳至記憶體帳戶且未移除或隔離的惡意代碼,進而讓威脅執行者下載它,或合法使用者或應用程式無意下載惡意代碼。 適用於:已啟用惡意程式碼掃描功能新的適用於儲存體 Defender 方案的 Azure Blob (標準一般用途 v2、Azure Data Lake Storage Gen2 或進階區塊 Blob) 儲存體帳戶。

MITRE 策略:橫向移動

嚴重性:高,如果 Eicar - 低

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步