Azure Cosmos DB のアラート

  • [アーティクル]

この記事では、Microsoft Defender for Cloud から Azure Cosmos DB に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure Cosmos DB アラート

詳細な説明と注意

Access from a Tor exit node (Tor 出口ノードからのアクセス)

(CosmosDB_TorAnomaly)

説明: この Azure Cosmos DB アカウントは、匿名化プロキシである Tor のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。

MITRE の戦術: 初期アクセス

重大度: 高/中

Access from a suspicious IP (不審な IP からのアクセス)

(CosmosDB_SuspiciousIp)

説明: この Azure Cosmos DB アカウントは、Microsoft Threat Intelligence によって脅威として識別された IP アドレスから正常にアクセスされました。

MITRE の戦術: 初期アクセス

重大度: 中

Access from an unusual location (通常とは異なる場所からのアクセス)

(CosmosDB_GeoAnomaly)

説明: この Azure Cosmos DB アカウントは、通常のアクセス パターンに基づいて、なじみのない場所からアクセスされました。

脅威アクターがアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。

MITRE の戦術: 初期アクセス

重大度: 低

Unusual volume of data extracted (異常に大容量のデータの抽出)

(CosmosDB_DataExfiltrationAnomaly)

説明: この Azure Cosmos DB アカウントから、異常に大量のデータが抽出されました。 これは、脅威アクターがデータを抜き通ったことを示している可能性があります。

MITRE の戦術: 流出

重大度: 中

Extraction of Azure Cosmos DB accounts keys via a potentially malicious script (悪意のある可能性があるスクリプトを使用した Azure Cosmos DB アカウント キーの抽出)

(CosmosDB_SuspiciousListKeys.MaliciousScript)

説明: サブスクリプションで PowerShell スクリプトが実行され、サブスクリプション内の Azure Cosmos DB アカウントのキーを取得するために、キー一覧操作の疑わしいパターンが実行されました。 脅威アクターは、Microburst などの自動化されたスクリプトを使用して、キーを一覧表示し、アクセスできる Azure Cosmos DB アカウントを見つけ出します。

この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境内の Azure Cosmos DB アカウントを侵害しようとしていることを示している可能性があります。

または、悪意のある内部関係者が機微なデータにアクセスし、横移動を試みている可能性があります。

MITRE の戦術: コレクション

重大度: 中

Suspicious extraction of Azure Cosmos DB account keys (Azure Cosmos DB アカウント キーの不審な抽出) (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

説明: 疑わしいソースがサブスクリプションから Azure Cosmos DB アカウント アクセス キーを抽出しました。 このソースが正当なソースでない場合は、影響が大きい問題である可能性があります。 抽出されたアクセス キーは、関連するデータベースと、その中の格納データを完全に制御します。 ソースが不審なとフラグ付けされた理由を理解するには、各特定のアラートの詳細を参照してください。

MITRE の戦術: 資格情報アクセス

重大度: 高

SQL injection: potential data exfiltration (SQL インジェクション: データ流出の可能性)

(CosmosDB_SqlInjection.DataExfiltration)

説明: 疑わしい SQL ステートメントを使用して、この Azure Cosmos DB アカウント内のコンテナーに対してクエリを実行しました。

挿入されたステートメントにより、脅威アクターが、アクセスを許可されていないデータの流出に成功している可能性があります。

Azure Cosmos DB クエリの構造と機能により、Azure Cosmos DB アカウントに対する多くの既知の SQL インジェクション攻撃は動作しません。 ただし、この攻撃で使用されるバリエーションが機能し、脅威アクターがデータを流出させる可能性があります。

MITRE の戦術: 流出

重大度: 中

SQL injection: fuzzing attempt (SQL インジェクション: ファジングの試行)

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

説明: 疑わしい SQL ステートメントを使用して、この Azure Cosmos DB アカウント内のコンテナーに対してクエリを実行しました。

他の既知の SQL インジェクション攻撃と同様に、この攻撃は Azure Cosmos DB アカウントを侵害しても成功しません。

ただし、脅威アクターがこのアカウント内のリソースを攻撃しようとしていることを示しており、アプリケーションが侵害される可能性があります。

一部の SQL インジェクション攻撃は成功し、データを抜き取るために使用されることがあります。 つまり、攻撃者が引き続き SQL インジェクションの試行を実行すると、Azure Cosmos DB アカウントが侵害され、データが流出する可能性があります。

この脅威を回避するには、パラメーター化されたクエリを使用します。

MITRE 戦術: 事前攻撃

重大度: 低

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ