攻擊路徑和雲端安全性圖形元件的參考清單
本文列出 Defender 雲端安全性狀態管理 (CSPM) 中使用的攻擊路徑、連線和深入解析。
- 您必須 讓 Defender CSPM 檢視攻擊路徑。
- 您在環境中看到的內容取決於您要保護的資源,以及自訂的組態。
深入瞭解 雲端安全性圖表、攻擊路徑分析和雲端安全性總管 。
攻擊路徑
Azure VM
必要條件:如需必要條件清單,請參閱 攻擊路徑的可用性資料表 。
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 網際網路公開的 VM 有高嚴重性弱點 | 虛擬機器可從網際網路連線,而且嚴重性弱點很高。 |
| 網際網路公開的 VM 具有高嚴重性弱點,以及訂用帳戶的高許可權 | 虛擬機器可從網際網路連線、嚴重性弱點高,以及訂用帳戶的身分識別和許可權。 |
| 網際網路公開的 VM 具有高嚴重性弱點,以及具有敏感性資料之資料存放區的讀取權限 | 虛擬機器可從網際網路連線,具有高度嚴重性弱點,以及包含敏感性資料的資料存放區讀取權限。 必要條件: 在 Defender CSPM 中啟用儲存體帳戶的資料感知安全性,或 利用Microsoft Purview 資料目錄來保護敏感性資料 。 |
| 網際網路公開的 VM 具有高度嚴重性弱點,以及資料存放區的讀取權限 | 虛擬機器可從網際網路連線,而且具有資料存放區的高嚴重性弱點和讀取權限。 |
| 網際網路公開的 VM 具有高度嚴重性弱點,以及金鑰保存庫的讀取權限 | 虛擬機器可從網際網路連線,而且具有高嚴重性弱點和金鑰保存庫的讀取權限。 |
| VM 具有高嚴重性弱點和訂用帳戶的高許可權 | 虛擬機器具有高嚴重性弱點,而且具有高許可權的訂用帳戶。 |
| VM 具有高嚴重性弱點,且具有敏感性資料的資料存放區讀取權限 | 虛擬機器具有高度嚴重性弱點,以及包含敏感性資料的資料存放區讀取權限。 必要條件: 在 Defender CSPM 中啟用儲存體帳戶的資料感知安全性,或 利用Microsoft Purview 資料目錄來保護敏感性資料 。 |
| VM 具有高嚴重性弱點和金鑰保存庫的讀取權限 | 虛擬機器具有高嚴重性弱點,以及金鑰保存庫的讀取權限。 |
| VM 具有高度嚴重性弱點,以及資料存放區的讀取權限 | 虛擬機器具有高度嚴重性弱點,以及資料存放區的讀取權限。 |
| 網際網路公開的 VM 具有高度嚴重性弱點和不安全的 SSH 私密金鑰,可向另一個 VM 進行驗證 | Azure 虛擬機器可從網際網路連線、嚴重性高弱點,且具有純文字 SSH 私密金鑰,可向另一個 AWS EC2 實例進行驗證 |
| 網際網路公開的 VM 具有高嚴重性弱點,且具有不安全的秘密,可用來向 SQL Server 進行驗證 | 可從網際網路連線到 Azure 虛擬機器、具有高嚴重性弱點,且具有可向 SQL Server 驗證的純文字 SSH 私密金鑰 |
| VM 具有高嚴重性弱點,且具有不安全的秘密,可用來向 SQL Server 進行驗證 | Azure 虛擬機器具有高嚴重性弱點,且具有可向 SQL Server 驗證的純文字 SSH 私密金鑰 |
| VM 具有高嚴重性弱點,且具有不安全的純文字密碼,可用來向儲存體帳戶進行驗證 | Azure 虛擬機器具有高嚴重性弱點,且具有可向 Azure 儲存體帳戶進行驗證的純文字 SSH 私密金鑰 |
| 網際網路公開的 VM 有高嚴重性弱點,且有不安全的秘密,可用來向儲存體帳戶進行驗證 | 可從網際網路連線到 Azure 虛擬機器、具有高嚴重性弱點,且具有可向 Azure 儲存體帳戶進行驗證的秘密 |
AWS EC2 實例
必要條件: 啟用無代理程式掃描 。
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 網際網路公開的 EC2 實例具有高嚴重性弱點,以及帳戶的高許可權 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,且具有帳戶的許可權。 |
| 網際網路公開的 EC2 實例具有高度嚴重性弱點和 DB 的讀取權限 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,且具有資料庫的許可權。 |
| 網際網路公開的 EC2 實例具有高嚴重性弱點和 S3 貯體讀取權限 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,以及透過 IAM 原則或透過貯體原則,或透過 IAM 原則和貯體原則連結至 S3 貯體許可權的 IAM 角色。 |
| 網際網路公開的 EC2 實例具有高度嚴重性弱點,以及具有敏感性資料之 S3 貯體讀取權限 | 從網際網路連線到 AWS EC2 實例具有高嚴重性弱點,且已將 IAM 角色附加至 S3 貯體的許可權,其中包含透過 IAM 原則或透過貯體原則或透過 IAM 原則和貯體原則包含敏感性資料的 IAM 角色。 必要條件: 在 Defender CSPM 中啟用 S3 貯體的資料感知安全性,或 利用Microsoft Purview 資料目錄來保護敏感性資料 。 |
| 網際網路公開的 EC2 實例具有高嚴重性弱點和 KMS 的讀取權限 | AWS EC2 實例可從網際網路連線、具有高度嚴重性弱點,以及透過 IAM 原則或 AWS 金鑰管理服務 (KMS) 原則,或透過 IAM 原則和 AWS KMS 原則,附加 AWS 金鑰管理服務 (KMS) 許可權的 IAM 角色。 |
| 網際網路公開的 EC2 實例有高嚴重性弱點 | AWS EC2 實例可從網際網路連線,且嚴重性弱點很高。 |
| 具有高嚴重性弱點的 EC2 實例具有帳戶的高特殊許可權 | AWS EC2 實例具有高嚴重性弱點,且具有帳戶的許可權。 |
| 具有高嚴重性弱點的 EC2 實例具有資料存放區的讀取權限 | AWS EC2 實例具有高嚴重性弱點,且已附加 IAM 角色,此角色會透過 IAM 原則或透過貯體原則,或透過 IAM 原則和貯體原則授與 S3 貯體的許可權。 |
| 具有高嚴重性弱點的 EC2 實例具有具有敏感性資料之資料存放區的讀取權限 | AWS EC2 實例具有高嚴重性弱點,且已附加 IAM 角色,此角色會透過 IAM 原則或透過貯體原則,或透過 IAM 和貯體原則授與包含敏感性資料的 S3 貯體許可權。 必要條件: 在 Defender CSPM 中啟用 S3 貯體的資料感知安全性,或 利用Microsoft Purview 資料目錄來保護敏感性資料 。 |
| 具有高嚴重性弱點的 EC2 實例具有 KMS 金鑰的讀取權限 | AWS EC2 實例具有高嚴重性弱點,且已附加 IAM 角色,此角色會透過 IAM 原則或 AWS 金鑰管理服務 (KMS) 原則,或透過 IAM 和 AWS KMS 原則授與 AWS 金鑰管理服務 (KMS) 金鑰的許可權。 |
| 網際網路公開的 EC2 實例具有高度嚴重性弱點和不安全的 SSH 私密金鑰,可向另一個 AWS EC2 實例進行驗證 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,且具有純文字 SSH 私密金鑰,可向另一個 AWS EC2 實例進行驗證 |
| 網際網路公開的 EC2 實例具有高嚴重性弱點,且具有不安全的秘密,可用來向 RDS 資源進行驗證 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,且具有可向 AWS RDS 資源驗證的純文字 SSH 私密金鑰 |
| EC2 實例具有高嚴重性弱點,且具有不安全的純文字密碼,可用來向 RDS 資源進行驗證 | AWS EC2 實例具有高嚴重性弱點,且具有純文字 SSH 私密金鑰,可向 AWS RDS 資源進行驗證 |
| 網際網路公開的 AWS EC2 實例具有高嚴重性弱點,且具有 S3 貯體許可權的不安全秘密,可透過 IAM 原則或透過貯體原則,或透過 IAM 原則和貯體原則。 | AWS EC2 實例可從網際網路連線、具有高嚴重性弱點,且具有不安全的秘密,可透過 IAM 原則、貯體原則或兩者存取 S3 貯體的許可權 |
GCP VM 實例
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 網際網路公開的 VM 實例有高嚴重性弱點 | GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,而且嚴重性弱點很高 [遠端程式碼執行]。 |
| 具有高嚴重性弱點的網際網路公開 VM 實例具有資料存放區的讀取權限 | GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,具有高度嚴重性弱點[遠端程式碼執行],而且具有資料存放區的讀取權限。 |
| 具有高嚴重性弱點的網際網路公開 VM 實例具有具有敏感性資料之資料存放區的讀取權限 | GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,具有高嚴重性弱點,允許在電腦上執行遠端程式碼,並使用服務帳戶指派具有 GCP 讀取權限的 GCP 儲存體貯體 '[BucketName]' 包含敏感性資料。 |
| 網際網路公開的 VM 實例具有高度嚴重性弱點,以及專案的高許可權 | GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,具有高度嚴重性弱點[遠端程式碼執行],且具有專案 '[ProjectName]' 的 '[Permissions]' 許可權。 |
| 具有高嚴重性弱點的網際網路公開 VM 實例具有秘密管理員的讀取權限 | GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,具有高度嚴重性弱點[遠端程式碼執行],並已透過 IAM 原則讀取權限至 GCP 秘密管理員的秘密 '[SecretName]'。 |
| 網際網路公開的 VM 實例具有高度嚴重性弱點,且已安裝裝載的資料庫 | 具有託管 [DatabaseType] 資料庫的 GCP VM 實例 '[VMInstanceName]' 可從網際網路連線,而且嚴重性弱點很高。 |
| 具有高嚴重性弱點的網際網路公開 VM 具有純文字 SSH 私密金鑰 | GCP VM 實例 '[MachineName]' 可從網際網路連線,具有高度嚴重性弱點 [遠端程式碼執行],且具有純文字 SSH 私密金鑰 [SSHPrivateKey]。 |
| 具有高嚴重性弱點的 VM 實例具有資料存放區的讀取權限 | GCP VM 實例 '[VMInstanceName]' 具有高度嚴重性弱點[遠端程式碼執行],且具有資料存放區的讀取權限。 |
| 具有高嚴重性弱點的 VM 實例具有具有敏感性資料之資料存放區的讀取權限 | GCP VM 實例 '[VMInstanceName]' 具有高度嚴重性弱點 [遠端程式碼執行],且具有包含敏感性資料的 GCP 儲存體貯體 '[BucketName]' 的讀取權限。 |
| VM 實例具有高嚴重性弱點和高許可權的專案 | GCP VM 實例 '[VMInstanceName]' 具有高度嚴重性弱點[遠端程式碼執行],且具有專案 '[ProjectName]' 的 '[Permissions]' 許可權。 |
| 具有高嚴重性弱點的 VM 實例具有秘密管理員的讀取權限 | GCP VM 實例 '[VMInstanceName]' 具有高度嚴重性弱點[遠端程式碼執行],並已透過 IAM 原則讀取權限給 GCP 秘密管理員的秘密 '[SecretName]'。 |
| 具有高嚴重性弱點的 VM 實例具有純文本 SSH 私鑰 | GCP VM 實例,以配合所有其他攻擊路徑。 虛擬機 '[MachineName]' 具有高度嚴重性弱點 [遠端程式代碼執行],且具有純文本 SSH 私鑰 [SSHPrivateKey]。 |
Azure 資料
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| VM 上公開的因特網 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在 VM 上執行程式代碼 | 可從因特網連線到 VM 上的 SQL、具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有弱點可允許程式代碼執行和橫向移動至基礎 VM。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| VM 上公開因特網的 SQL 具有用戶帳戶,其中包含常用的用戶名稱和已知弱點 | 您可以從因特網連線到 VM 上的 SQL,具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有已知的弱點(CVE)。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| VM 上的 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在 VM 上執行程式代碼 | VM 上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有弱點可讓程式代碼執行和橫向移動至基礎 VM。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| VM 上的 SQL 具有一個用戶帳戶,其中包含常用的用戶名稱和已知弱點 | VM 上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),且有已知的弱點 (CVE)。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| 具有過度因特網暴露的受控資料庫允許基本 (本機使用者/密碼) 驗證 | 資料庫可以從任何公用IP透過因特網存取,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將資料庫公開為暴力密碼破解攻擊。 |
| 具有過多因特網暴露和敏感數據的受控資料庫允許基本 (本機使用者/密碼) 驗證 (預覽) | 您可以從任何公用IP透過因特網存取資料庫,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將具有敏感數據的 DB 公開至暴力密碼破解攻擊。 |
| 具有敏感資料的因特網公開受控資料庫允許基本 (本機使用者/密碼) 驗證 (預覽) | 您可以從特定IP或IP範圍透過因特網存取資料庫,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將具有敏感數據的 DB 公開至暴力密碼破解攻擊。 |
| 因特網公開的 VM 有高度嚴重性弱點,且已安裝裝載的資料庫 (預覽) | 具有資料庫計算機網路存取權的攻擊者可以利用弱點並取得遠端程式代碼執行。 |
| 私人 Azure Blob 記憶體容器會將數據復寫至因特網公開且可公開存取的 Azure Blob 記憶體容器 | 內部 Azure 記憶體容器會將數據復寫至可從因特網連線的另一個 Azure 記憶體容器,並允許公用存取,並造成此數據有風險。 |
| 可公開因特網 Azure Blob 儲存體 具有敏感數據的容器 | 具有敏感數據的 Blob 記憶體帳戶容器可從因特網連線,並允許不需要授權即可存取公用讀取。 必要條件: 在Defender CSPM 中啟用記憶體帳戶的數據感知安全性。 |
AWS 數據
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 具有敏感數據的因特網公開 AWS S3 貯體可供公開存取 | 具有敏感數據的 S3 貯體可從因特網連線,並允許不需要授權的公用讀取存取權。 必要條件:在 Defender CSPM 中啟用 S3 貯體的數據感知安全性,或利用 Microsoft Purview 資料目錄 來保護敏感數據。 |
| 在 EC2 實例上公開因特網的 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在基礎計算上執行程式代碼 | 在 EC2 實例上公開因特網的 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在基礎計算上執行程式代碼。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender。 |
| 在 EC2 實例上公開因特網的 SQL 具有用戶帳戶,其中包含常用的用戶名稱和已知弱點 | 可從因特網連線到 EC2 實例的 SQL、具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有已知的弱點(CVE)。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| EC2 實例上的 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在基礎計算上執行程式代碼 | EC2 實例上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有弱點可讓程式代碼執行和橫向移動至基礎計算。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| EC2 實例上的 SQL 具有用戶帳戶,其中包含常用的用戶名稱和已知弱點 | EC2 實例 [EC2Name] 上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有已知的弱點(CVE)。 必要條件: 在機器上啟用適用於 SQL 伺服器的 Microsoft Defender |
| 具有過度因特網暴露的受控資料庫允許基本 (本機使用者/密碼) 驗證 | 資料庫可以從任何公用IP透過因特網存取,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將資料庫公開為暴力密碼破解攻擊。 |
| 具有過多因特網暴露和敏感數據的受控資料庫允許基本 (本機使用者/密碼) 驗證 (預覽) | 您可以從任何公用IP透過因特網存取資料庫,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將具有敏感數據的 DB 公開至暴力密碼破解攻擊。 |
| 具有敏感資料的因特網公開受控資料庫允許基本 (本機使用者/密碼) 驗證 (預覽) | 您可以從特定IP或IP範圍透過因特網存取資料庫,並允許使用使用者名稱和密碼進行驗證(基本身份驗證機制),以將具有敏感數據的 DB 公開至暴力密碼破解攻擊。 |
| 因特網公開的 EC2 實例具有高度嚴重性弱點和已安裝的託管資料庫 (預覽) | 具有資料庫計算機網路存取權的攻擊者可以利用弱點並取得遠端程式代碼執行。 |
| 私人 AWS S3 貯體會將數據復寫至因特網公開且可公開存取的 AWS S3 貯體 | 內部 AWS S3 貯體會將其數據復寫到另一個可從因特網連線的 S3 貯體,並允許公用存取,並造成此數據面臨風險。 |
| RDS 快照集可供所有 AWS 帳戶公開使用 (預覽) | 所有 AWS 帳戶都可以公開存取 RDS 實例或叢集的快照集。 |
| EC2 實例上公開的因特網 SQL 具有一個用戶帳戶,具有常用的用戶名稱,並允許在基礎計算上執行程式代碼 (預覽) | 可從因特網連線到 EC2 實例的 SQL、具有常用的使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有弱點可允許程式代碼執行和橫向行動基礎計算 |
| 在 EC2 實例上公開因特網的 SQL 具有用戶帳戶,其中包含常用的使用者名稱和已知弱點 (預覽) | 可從因特網連線到 EC2 實例的 SQL、具有常用的使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有已知的弱點 (CVE) |
| EC2 實例上的 SQL 具有具有常用使用者名稱的用戶帳戶,並允許在基礎計算上執行程式代碼 (預覽) | EC2 實例上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),而且有弱點可讓程式代碼執行和橫向移動至基礎計算 |
| EC2 實例上的 SQL 具有使用者帳戶,其中包含常用的使用者名稱和已知弱點 (預覽) | EC2 實例上的 SQL 具有具有常用使用者名稱的本機用戶帳戶(容易遭受暴力密碼破解攻擊),且有已知的弱點 (CVE) |
| 私人 AWS S3 貯體會將數據復寫至因特網公開且可公開存取的 AWS S3 貯體 | 私人 AWS S3 貯體正在將數據復寫至因特網公開且可公開存取的 AWS S3 貯體 |
| 具有敏感數據的私人 AWS S3 貯體會將數據復寫至因特網公開且可公開存取的 AWS S3 貯體 | 具有敏感數據的私人 AWS S3 貯體正在將數據復寫至因特網公開且可公開存取的 AWS S3 貯體 |
| RDS 快照集可供所有 AWS 帳戶公開使用 (預覽) | RDS 快照集可供所有 AWS 帳戶公開使用 |
GCP 數據
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 具有敏感數據的 GCP 儲存體 貯體可公開存取 | 具有敏感數據的 GCP 儲存體 Bucket [BucketName] 允許公開讀取存取,而不需要授權。 |
Azure 容器
必要條件: 啟用無代理程式容器狀態。 這也可讓您 在安全性總管中查詢 容器數據平面工作負載。
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 因特網公開的 Kubernetes Pod 正在執行具有 RCE 弱點的容器 | 命名空間中公開的因特網 Kubernetes Pod 正在執行容器,其映像具有允許遠端程式代碼執行的弱點。 |
| 在因特網公開節點上執行的 Kubernetes Pod 使用主機網路來執行具有 RCE 弱點的容器 | 已啟用主機網路存取的命名空間中的 Kubernetes Pod 會透過主機網路向因特網公開。 Pod 正在執行容器,其映像具有允許遠端程式代碼執行的弱點。 |
GitHub 存放庫
必要條件: 啟用適用於 DevOps 的 Defender。
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 可公開因特網公開的 GitHub 存放庫與純文字秘密可供公開 (預覽) | GitHub 存放庫可從因特網連線、允許不需要授權的公用讀取存取權,並保留純文本秘密。 |
API
必要條件: 啟用適用於 API 的 Defender。
| 攻擊路徑顯示名稱 | 攻擊路徑描述 |
|---|---|
| 未經驗證的因特網公開 API 會攜帶敏感數據 | Azure API 管理 API 可從因特網連線、包含敏感數據,且未啟用驗證,導致攻擊者利用 API 進行數據外流。 |
雲端安全性圖表元件清單
本節列出可與雲端安全性總管搭配查詢的所有雲端安全性圖形元件(連線和深入解析)。
深入解析
| 深入解析 | 描述 | 支持的實體 |
|---|---|---|
| 公開至因特網 | 表示資源會公開至因特網。 支援埠篩選。 深入了解 | Azure 虛擬機、AWS EC2、Azure 儲存器帳戶、Azure SQL Server、Azure Cosmos DB、AWS S3、Kubernetes Pod、Azure SQL 受控執行個體、Azure MySQL 單一伺服器、Azure MySQL 彈性伺服器、Azure PostgreSQL 單一伺服器、Azure PostgreSQL 彈性伺服器、Azure MariaDB 單一伺服器、Synapse 工作區、RDS 實例、GCP VM 實例、GCP SQL 管理員實例 |
| 允許基本身份驗證 (預覽) | 指出資源允許基本 (本機使用者/密碼或金鑰型) 驗證 | Azure SQL Server、RDS 實例、Azure MariaDB 單一伺服器、Azure MySQL 單一伺服器、Azure MySQL 彈性伺服器、Synapse 工作區、Azure PostgreSQL 單一伺服器、Azure SQL 受控執行個體 |
| 包含敏感數據 必要條件:在 Defender CSPM 中啟用記憶體帳戶的數據感知安全性,或利用 Microsoft Purview 資料目錄 來保護敏感數據。 |
表示資源包含敏感數據。 | MDC 敏感數據探索: Azure 儲存體 帳戶、Azure 儲存體 帳戶容器、AWS S3 貯體、Azure SQL Server(預覽)、Azure SQL 資料庫(預覽)、RDS 實例(預覽)、RDS 實例資料庫(預覽)、RDS 叢集 (預覽) Purview 敏感數據探索 (預覽): Azure 儲存體 帳戶、Azure 儲存體 帳戶容器、AWS S3 貯體、Azure SQL Server、Azure SQL 資料庫、Azure Data Lake 儲存體 Gen2、適用於 PostgreSQL 的 Azure 資料庫、適用於 MySQL 的 Azure 資料庫、Azure Synapse Analytics、Azure Cosmos DB 帳戶、GCP 雲端記憶體貯體 |
| 將資料移至 (預覽) | 表示資源將其數據傳輸到另一個資源 | 儲存體 帳戶容器、AWS S3、AWS RDS 實例、AWS RDS 叢集 |
| 從取得資料 (預覽) | 表示資源從另一個資源取得其數據 | 儲存體 帳戶容器、AWS S3、AWS RDS 實例、AWS RDS 叢集 |
| 具有標籤 | 列出雲端資源的資源標記 | 所有 Azure、AWS 和 GCP 資源 |
| 已安裝的軟體 | 列出電腦上安裝的所有軟體。 此深入解析僅適用於已啟用 威脅與漏洞管理 與 適用於雲端的 Defender整合且連線至 適用於雲端的 Defender 的 VM。 | Azure 虛擬機、AWS EC2 |
| 允許公用存取 | 表示不允許公用讀取許可權存取資源,不需要授權。 深入了解 | Azure 記憶體帳戶、AWS S3 貯體、GitHub 存放庫、GCP 雲端記憶體貯體 |
| 未啟用 MFA | 指出用戶帳戶未啟用多重要素驗證解決方案 | Microsoft Entra 用戶帳戶、IAM 使用者 |
| 是外部使用者 | 指出用戶帳戶位於組織的網域外部 | Microsoft Entra 用戶帳戶 |
| 受管理 | 指出身分識別是由雲端提供者所管理 | Azure 受控識別 |
| 包含一般用戶名稱 | 表示 SQL Server 具有具有常見使用者名稱的用戶帳戶,容易遭受暴力密碼破解攻擊。 | SQL VM、已啟用 Arc 的 SQL VM |
| 可以在主機上執行程序代碼 | 指出 SQL Server 允許使用內建機制在基礎 VM 上執行程式碼,例如xp_cmdshell。 | SQL VM、已啟用 Arc 的 SQL VM |
| 有弱點 | 指出資源 SQL Server 偵測到弱點 | SQL VM、已啟用 Arc 的 SQL VM |
| DEASM 結果 | Microsoft Defender 外部受攻擊面管理 (DEASM) 因特網掃描結果 | 公用 IP |
| 特殊許可權容器 | 指出 Kubernetes 容器以特殊許可權模式執行 | Kubernetes 容器 |
| 使用主機網路 | 指出 Kubernetes Pod 使用其主電腦的網路命名空間 | Kubernetes Pod |
| 具有高嚴重性弱點 | 指出資源具有高嚴重性弱點 | Azure VM、AWS EC2、容器映射、GCP VM 實例 |
| 容易受到遠端程式代碼執行的影響 | 表示資源有允許遠端程式代碼執行的弱點 | Azure VM、AWS EC2、容器映射、GCP VM 實例 |
| 公用IP元數據 | 列出公用IP的元數據 | 公用 IP |
| 身分識別元數據 | 列出身分識別的元數據 | Microsoft Entra Identity |
關係
| 連線 | 描述 | 來源實體類型 | 目的地實體類型 |
|---|---|---|---|
| 可以驗證為 | 指出 Azure 資源可以向身分識別進行驗證,並使用其許可權 | Azure VM、Azure VMSS、Azure 儲存體 帳戶、Azure App 服務、SQL Server | Microsoft Entra 受控識別 |
| 具有許可權 | 指出身分識別具有資源或資源群組的許可權 | Microsoft Entra 用戶帳戶、受控識別、IAM 使用者、EC2 實例 | 所有 Azure & AWS 資源 |
| Contains | 指出來源實體包含目標實體 | Azure 訂用帳戶、Azure 資源群組、AWS 帳戶、Kubernetes 命名空間、Kubernetes Pod、Kubernetes 叢集、GitHub 擁有者、Azure DevOps 專案、Azure DevOps 組織、Azure SQL Server、RDS 叢集、RDS 實例、GCP 專案、GCP 資料夾、GCP 組織 | 所有 Azure、AWS 和 GCP 資源、所有 Kubernetes 實體、所有 DevOps 實體、Azure SQL 資料庫、RDS 實例、RDS 實例資料庫 |
| 將流量路由傳送至 | 指出來源實體可以將網路流量路由傳送至目標實體 | 公用IP、Load Balancer、VNET、子網、VLAN、因特網網關、Kubernetes服務、Kubernetes Pod | Azure VM、Azure VMSS、AWS EC2、子網、Load Balancer、因特網網關、Kubernetes Pod、Kubernetes 服務、GCP VM 實例、GCP 實例群組 |
| 正在執行 | 指出來源實體正在以進程的形式執行目標實體 | Azure VM、EC2、Kubernetes 容器 | SQL、已啟用 Arc 的 SQL、託管的 MongoDB、裝載的 MySQL、託管的 Oracle、託管的 PostgreSQL、託管的 SQL Server、容器映射、Kubernetes Pod |
| 成員隸屬 | 指出來源身分識別是目標身分識別群組的成員 | Microsoft Entra 群組、Microsoft Entra 使用者 | Microsoft Entra 群組 |
| 保持 | 指出來源 Kubernetes 實體會管理目標 Kubernetes 實體的生命週期 | Kubernetes 工作負載控制器、Kubernetes 副本集、Kubernetes 具狀態集、Kubernetes 精靈集、Kubernetes 作業、Kubernetes cron 作業 | Kubernetes Pod |