Warnungen für Azure Storage
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure Storage von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Azure Storage-Warnungen
Zugriff über eine verdächtige Anwendung
(Storage. Blob_SuspiciousApp)
Beschreibung: Gibt an, dass eine verdächtige Anwendung erfolgreich auf einen Container eines Speicherkontos mit Authentifizierung zugegriffen hat. Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde. Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel
Zugriff über eine verdächtige IP-Adresse
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Beschreibung: Gibt an, dass auf dieses Speicherkonto erfolgreich über eine IP-Adresse zugegriffen wurde, die als verdächtig eingestuft wird. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Pre Attack
Schweregrad: Hoch/Mittel/Niedrig
Phishinginhalte in einem Speicherkonto gehostet
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Beschreibung: Eine URL, die in einem Phishingangriff verwendet wird, verweist auf Ihr Azure Storage-Konto. Diese URL war Teil eines Phishingangriffs, der Microsoft 365-Kunden betraf. In der Regel ist der auf solchen Seiten gehostete Inhalt dafür konzipiert, Besucher zur Eingabe ihrer Unternehmensanmeldeinformationen oder Finanzinformationen in einem Webformular zu verleiten, das legitim aussieht. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Speicherkonto als Quelle für die Verteilung von Schadsoftware identifiziert
(Storage.Files_WidespreadeAm)
Beschreibung: Antischadsoftwarewarnungen deuten darauf hin, dass eine infizierte Datei(n) in einer Azure-Dateifreigabe gespeichert ist, die an mehrere VMs bereitgestellt wird. Wenn Angreifer Zugriff auf einen virtuellen Computer mit einer eingebundenen Azure-Dateifreigabe erhalten, können sie diese verwenden, um Schadsoftware auf andere virtuelle Computer zu verteilen, auf denen dieselbe Freigabe eingebunden ist. Gilt für: Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Die Zugriffsebene eines potenziell vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen
(Storage.Blob_OpenACL)
Beschreibung: Die Warnung gibt an, dass jemand die Zugriffsebene eines BLOB-Containers im Speicherkonto geändert hat, das vertrauliche Daten auf der Ebene "Container" enthalten kann, um den nicht authentifizierten (anonymen) öffentlichen Zugriff zuzulassen. Die Änderung erfolgte über das Azure-Portal. Basierend auf statistischen Analysen wird der Blobcontainer als möglicherweise vertrauliche Daten enthaltend gekennzeichnet. Diese Analyse deutet darauf hin, dass Blob-Container oder Speicherkonten mit ähnlichen Namen in der Regel nicht für den öffentlichen Zugriff freigegeben sind. Gilt für: Azure Blob-Speicherkonten (Standard Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs).
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Authentifizierter Zugriff von einem Tor-Exitknoten
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Beschreibung: Auf einen oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich von einer IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Anfänglicher Zugriff / Vorabangriff
Schweregrad: Hoch/Mittel
Zugriff auf ein Speicherkonto von einem ungewöhnlichen Ort aus
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Beschreibung: Gibt an, dass es eine Änderung des Zugriffsmusters für ein Azure Storage-Konto gab. Im Vergleich zu den letzten Aktivitäten hat jemand von einer unbekannten IP-Adresse aus auf dieses Konto zugegriffen. Entweder hat ein Angreifer Zugriff auf das Konto erlangt, oder ein berechtigter Benutzer hat von einem neuen oder ungewöhnlichen geografischen Standort eine Verbindung hergestellt. Ein Beispiel für Letzteres wäre etwa eine Remotewartung durch eine neue Anwendung oder einen neuen Entwickler. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel/Niedrig
Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer
(Storage.Blob_AnonymousAccessAnomaly)
Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Niedrig
Potenzielle Schadsoftware, die in ein Speicherkonto hochgeladen wurde
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Beschreibung: Gibt an, dass ein Blob, das potenzielle Schadsoftware enthält, in einen BLOB-Container oder eine Dateifreigabe in einem Speicherkonto hochgeladen wurde. Diese Warnung basiert auf der Hashzuverlässigkeitsanalyse und nutzt Threat Intelligence von Microsoft, u. a. Hashes für Viren, Trojaner, Spyware und Ransomware. Mögliche Ursachen können einen absichtlichen Malware-Upload durch einen Angreifer oder einen unbeabsichtigten Upload eines potenziell schädlichen Blobs durch einen legitimen Benutzer umfassen. Gilt für: Azure Blob Storage, Azure Files (nur für Transaktionen über REST-API) Erfahren Sie mehr über die Funktionen der Bedrohungserkennung von Microsoft.
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Öffentlich zugängliche Speichercontainer erfolgreich gefunden
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Beschreibung: Eine erfolgreiche Ermittlung von öffentlich geöffneten Speichercontainern in Ihrem Speicherkonto wurde in der letzten Stunde durch ein Scanskript oder -tool durchgeführt.
Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-Taktiken: Sammlung
Schweregrad: Hoch/Mittel
Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Beschreibung: Eine Reihe fehlgeschlagener Versuche, nach öffentlich geöffneten Speichercontainern zu suchen, wurden in der letzten Stunde durchgeführt.
Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-Taktiken: Sammlung
Schweregrad: Hoch/Niedrig
Ungewöhnliche Zugriffsüberprüfung in einem Speicherkonto
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Beschreibung: Gibt an, dass die Zugriffsberechtigungen eines Speicherkontos ungewöhnlich überprüft wurden, verglichen mit den letzten Aktivitäten auf diesem Konto. Mögliche Ursache: Ein Angreifer hat für einen späteren Angriff eine Reconnaissance durchgeführt. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ermittlung
Schweregrad: Hoch/Mittel
Ungewöhnliche Menge von Daten, die aus einem Speicherkonto extrahiert wurden
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Beschreibung: Gibt an, dass im Vergleich zu den letzten Aktivitäten in diesem Speichercontainer eine ungewöhnlich große Datenmenge extrahiert wurde. Mögliche Ursache: Ein Angreifer hat eine große Menge an Daten aus einem Container extrahiert, der Blobspeicher enthält. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Exfiltration
Schweregrad: Hoch/Niedrig
Ungewöhnliche Anwendung, die auf ein Speicherkonto zugegriffen hat
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Beschreibung: Gibt an, dass eine ungewöhnliche Anwendung auf dieses Speicherkonto zugegriffen hat. Mögliche Ursache: Ein Angreifer hat mit einer neuen Anwendung auf Ihr Speicherkonto zugegriffen. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Ungewöhnliche Untersuchung von Daten in einem Speicherkonto
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Beschreibung: Gibt an, dass Blobs oder Container in einem Speicherkonto auf ungewöhnliche Weise im Vergleich zu den letzten Aktivitäten auf diesem Konto aufgezählt wurden. Mögliche Ursache: Ein Angreifer hat für einen späteren Angriff eine Reconnaissance durchgeführt. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Ungewöhnliche Löschvorgänge in einem Speicherkonto
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Beschreibung: Gibt an, dass ein oder mehrere unerwartete Löschvorgänge in einem Speicherkonto aufgetreten sind, verglichen mit der letzten Aktivität für dieses Konto. Mögliche Ursache: Ein Angreifer hat Daten im Speicherkonto gelöscht. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Exfiltration
Schweregrad: Hoch/Mittel
Ungewöhnlicher nicht authentifizierter öffentlicher Zugriff auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto ohne Authentifizierung zugegriffen hat, wobei eine externe (öffentliche) IP-Adresse verwendet wird. Dieser Zugriff ist verdächtig, da der Blobcontainer öffentlich zugänglich ist und in der Regel nur mit Authentifizierung über interne Netzwerke (private IP-Adressen) darauf zugegriffen wird. Dieser Zugriff könnte darauf hinweisen, dass die Zugriffsebene des BLOB-Containers falsch konfiguriert ist, und ein böswilliger Akteur hat den öffentlichen Zugriff möglicherweise ausgenutzt. Die Sicherheitswarnung umfasst den ermittelten Kontext vertraulicher Informationen (Überprüfungszeit, Klassifizierungsbezeichnung, Informationstypen und Dateitypen). Informieren Sie sich über die Bedrohungserkennung für vertrauliche Daten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Erstzugriff
Schweregrad: hoch
Ungewöhnliche Datenmenge aus einem vertraulichen Blobcontainer extrahiert (Vorschau)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand eine ungewöhnlich große Menge von Daten aus einem BLOB-Container mit vertraulichen Daten im Speicherkonto extrahiert hat. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Ungewöhnliche Anzahl von Blobs aus einem vertraulichen Blobcontainer extrahiert (Vorschau)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand eine ungewöhnlich große Anzahl von Blobs aus einem BLOB-Container mit vertraulichen Daten im Speicherkonto extrahiert hat. Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Erkennung von Bedrohungen für Datenvertraulichkeit
MITRE-Taktiken: Exfiltration
Zugriff mit einer bekannten verdächtigen Anwendung auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_SuspiciousApp.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand mit einer bekannten verdächtigen Anwendung auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto zugegriffen und authentifizierte Vorgänge ausgeführt hat.
Der Zugriff kann darauf hinweisen, dass ein Bedrohungsakteur Anmeldeinformationen für den Zugriff auf das Speicherkonto mithilfe einer bekannten verdächtigen Anwendung erhalten hat. Der Zugriff könnte jedoch auch auf einen Penetrationstest hinweisen, der in der Organisation durchgeführt wird.
Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Erkennung von Bedrohungen für Datenvertraulichkeit
MITRE-Taktiken: Erstzugriff
Schweregrad: hoch
Zugriff mit einer bekannten verdächtigen IP-Adresse auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_SuspiciousIp.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto von einer bekannten verdächtigen IP-Adresse zugegriffen hat, die mit Bedrohungsintelligenz von Microsoft Threat Intelligence verknüpft ist. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Zugriff über einen Tor-Exitknoten auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_TorAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass eine Person mit einer IP-Adresse, die als Tor-Beendigungsknoten bekannt ist, auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto mit authentifizierten Zugriff zugegriffen hat. Der authentifizierte Zugriff über einen Tor-Exitknoten weist stark darauf hin, dass der Akteur versucht, für mögliche böswillige Zwecke anonym zu bleiben. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Zugriff von einem ungewöhnlichen Ort auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_GeoAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf blob-Container mit vertraulichen Daten im Speicherkonto mit Authentifizierung von einem ungewöhnlichen Ort aus zugegriffen hat. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Die Zugriffsebene eines vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen (Vorschau)
Storage.Blob_OpenACL.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand die Zugriffsebene eines BLOB-Containers im Speicherkonto, das vertrauliche Daten enthält, auf die Ebene "Container" geändert hat, die den nicht authentifizierten (anonymen) öffentlichen Zugriff ermöglicht. Die Änderung erfolgte über das Azure-Portal. Die Änderung der Zugriffsebene kann die Sicherheit der Daten beeinträchtigen. Es wird empfohlen, sofortige Maßnahmen zu ergreifen, um die Daten zu schützen und unbefugten Zugriff zu verhindern, falls diese Warnung ausgelöst wird. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Verdächtiger externer Zugriff auf ein Azure-Speicherkonto mit zu freizügigem SAS-Token (Vorschau)
Storage.Blob_AccountSas.InternalSasUsedExternally
Beschreibung: Die Warnung gibt an, dass jemand mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto zugegriffen hat, indem ein übermäßig zulässiges SAS-Token mit einem langen Ablaufdatum verwendet wird. Diese Art des Zugriffs gilt als verdächtig, da das SAS-Token in der Regel nur in internen Netzwerken (von privaten IP-Adressen) verwendet wird. Die Aktivität kann darauf hinweisen, dass ein SAS-Token von einem böswilligen Akteur geleert wurde oder unbeabsichtigt von einer legitimen Quelle geleert wurde. Selbst wenn der Zugriff legitim ist, widerspricht die Verwendung eines SAS-Tokens mit hoher Berechtigung und einem langen Ablaufdatum den bewährten Sicherheitsmethoden und stellt ein potenzielles Sicherheitsrisiko dar. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Mittel
Verdächtiger externer Vorgang für ein Azure-Speicherkonto mit zu freizügigem SAS-Token (Vorschau)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Beschreibung: Die Warnung gibt an, dass jemand mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto zugegriffen hat, indem ein übermäßig zulässiges SAS-Token mit einem langen Ablaufdatum verwendet wird. Der Zugriff gilt als verdächtig, da Vorgänge, die außerhalb Ihres Netzwerks (nicht von privaten IP-Adressen) mit diesem SAS-Token aufgerufen werden, normalerweise für eine bestimmte Gruppe von Lese-/Schreib-/Löschvorgängen verwendet werden, aber andere Vorgänge aufgetreten sind, was diesen Zugriff verdächtig macht. Diese Aktivität kann darauf hinweisen, dass ein SAS-Token von einem böswilligen Akteur geleeckt wurde oder unbeabsichtigt von einer legitimen Quelle geleert wurde. Selbst wenn der Zugriff legitim ist, widerspricht die Verwendung eines SAS-Tokens mit hoher Berechtigung und einem langen Ablaufdatum den bewährten Sicherheitsmethoden und stellt ein potenzielles Sicherheitsrisiko dar. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Mittel
Ungewöhnliches SAS-Token wurde verwendet, um mit einer öffentlichen IP-Adresse auf ein Azure-Speicherkonto zuzugreifen (Vorschau)
Storage.Blob_AccountSas.UnusualExternalAccess
Beschreibung: Die Warnung gibt an, dass eine Person mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto über ein Konto-SAS-Token zugegriffen hat. Der Zugriff ist äußerst ungewöhnlich und gilt als verdächtig, da der Zugriff auf das Speicherkonto mithilfe von SAS-Token in der Regel nur über interne (private) IP-Adressen erfolgt. Es ist möglich, dass ein SAS-Token kompromittiert wurde oder von einem böswilligen Akteur innerhalb Ihrer Organisation oder extern generiert wurde, um Zugriff auf dieses Speicherkonto zu erhalten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Niedrig
Schädliche Datei in Speicherkonto hochgeladen
Storage.Blob_AM.MalwareFound
Beschreibung: Die Warnung gibt an, dass ein bösartiges BLOB in ein Speicherkonto hochgeladen wurde. Diese Sicherheitswarnung wird von dem Feature zur Überprüfung auf Schadsoftware in Defender for Storage generiert. Mögliche Ursachen können einen absichtlichen Upload von Schadsoftware durch einen Bedrohungsakteur oder einen unbeabsichtigten Upload einer schädlichen Datei durch einen legitimen Benutzer umfassen. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature "Malware Scanning".
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Bösartiges BLOB wurde aus einem Speicherkonto heruntergeladen (Vorschau)
Storage.Blob_MalwareDownload
Beschreibung: Die Warnung gibt an, dass ein bösartiges BLOB aus einem Speicherkonto heruntergeladen wurde. Mögliche Ursachen können Schadsoftware sein, die in das Speicherkonto hochgeladen und nicht entfernt oder unter Quarantäne gestellt wurde, wodurch ein Bedrohungsakteur es herunterladen kann, oder einen unbeabsichtigten Download der Schadsoftware durch legitime Benutzer oder Anwendungen. Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Überprüfung auf Schadsoftware
MITRE-Taktiken: Lateral Movement
Schweregrad: Hoch, wenn Eicar - niedrig
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.