Azure Key Vault のアラート

[アーティクル]
08/07/2024

この記事では、Microsoft Defender for Cloud から Azure Key Vault に対して取得できるセキュリティアラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。たとえば、ネットワークトラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure Key Vault のアラート

詳細な説明と注意

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキーコンテナーへのアクセス)

(KV_SuspiciousIPAccess)

説明: キーコンテナーは、疑わしい IP アドレスとして Microsoft Threat Intelligence によって識別された IP によって正常にアクセスされました。これは、インフラストラクチャが侵害されたことを示している可能性があります。さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。

MITRE の戦術: 資格情報アクセス

重大度: 中

Access from a TOR exit node to a key vault (TOR 出口ノードからキーコンテナーへのアクセス)

(KV_TORAccess)

説明: 既知の TOR 出口ノードからキーコンテナーにアクセスしました。これは、脅威アクターがキーコンテナーにアクセスし、TOR ネットワークを使用してそのソースの場所を隠していることを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

High volume of operations in a key vault (キーコンテナーでの大量の操作)

(KV_OperationVolumeAnomaly)

説明: 異常な数のキーコンテナー操作が、ユーザー、サービスプリンシパル、または特定のキーコンテナーによって実行されました。この異常なアクティビティパターンは正当なものである可能性がありますが、脅威アクターがキーコンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious policy change and secret query in a key vault (キーコンテナーでの不審なポリシー変更とシークレットクエリ)

(KV_PutGetAnomaly)

説明: ユーザーまたはサービスプリンシパルが異常な Vault Put ポリシー変更操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。このパターンは、通常、指定されたユーザーまたはサービスプリンシパルによって実行されることはありません。これは正当なアクティビティかもしれませんが、脅威アクターが以前にアクセスできないシークレットにアクセスするためにキーコンテナーポリシーを更新したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious secret listing and query in a key vault (キーコンテナーでの不審なシークレット一覧取得とクエリ)

(KV_ListGetAnomaly)

説明: ユーザーまたはサービスプリンシパルが異常なシークレットリスト操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。このパターンは、通常、指定されたユーザーまたはサービスプリンシパルによって実行されることはなく、普通はシークレットダンプに関連付けられています。これは正当なアクティビティかもしれませんが、脅威アクターがキーコンテナーにアクセスし、ネットワーク内を横方向に移動したり、機密性の高いリソースにアクセスしたりするために使用できるシークレットを検出しようとしていることを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

異常なアクセスが拒否されました - 大量のキーコンテナーにアクセスしているユーザーが拒否されました

(KV_AccountVolumeAccessDeniedAnomaly)

説明: ユーザーまたはサービスプリンシパルが、過去 24 時間以内に異常に大量のキーコンテナーにアクセスしようとしました。この異常なアクセスパターンは、正当なアクティビティである可能性があります。この試行は失敗しましたが、キーコンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 検出

重大度: 低

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キーコンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

(KV_UserAccessDeniedAnomaly)

説明: 通常はアクセスしないユーザーによってキーコンテナーへのアクセスが試行されました。この異常なアクセスパターンは正当なアクティビティである可能性があります。この試行は失敗しましたが、キーコンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。

MITRE の戦術: 初期アクセス、検出

重大度: 低

Unusual application accessed a key vault (異常なアプリケーションによるキーコンテナーへのアクセス)

(KV_AppAnomaly)

説明: 通常はアクセスしないサービスプリンシパルによってキーコンテナーにアクセスされました。この異常なアクセスパターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キーコンテナーへのアクセスを取得したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual operation pattern in a key vault (キーコンテナーでの異常な操作パターン)

(KV_OperationPatternAnomaly)

説明: キーコンテナー操作の異常なパターンは、ユーザー、サービスプリンシパル、または特定のキーコンテナーによって実行されました。この異常なアクティビティパターンは正当なものである可能性がありますが、脅威アクターがキーコンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user accessed a key vault (異常なユーザーによるキーコンテナーへのアクセス)

(KV_UserAnomaly)

説明: 通常はアクセスしないユーザーがキーコンテナーにアクセスしました。この異常なアクセスパターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キーコンテナーへのアクセスを取得したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキーコンテナーへのアクセス)

(KV_UserAppAnomaly)

説明: 通常はアクセスしないユーザーサービスプリンシパルペアによってキーコンテナーにアクセスされました。この異常なアクセスパターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キーコンテナーへのアクセスを取得したことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

User accessed high volume of key vaults (ユーザーによる大量のキーコンテナーへのアクセス)

(KV_AccountVolumeAnomaly)

説明: ユーザーまたはサービスプリンシパルが異常に大量のキーコンテナーにアクセスしました。この異常なアクセスパターンは正当なアクティビティである可能性がありますが、脅威アクターが複数のキーコンテナーにアクセスして、その中に含まれるシークレットにアクセスしようとしたことを示している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

疑わしい IP アドレスからのキーコンテナーへのアクセスを拒否しました

(KV_SuspiciousIPAccessDenied)

説明: Microsoft Threat Intelligence によって疑わしい IP アドレスとして識別された IP によって、キーコンテナーへのアクセスが失敗しました。この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 低

疑わしい IP (Microsoft 以外または外部) からのキーコンテナーへの異常なアクセス

(KV_UnusualAccessSuspiciousIP)

説明: ユーザーまたはサービスプリンシパルが、過去 24 時間以内に Microsoft 以外の IP からキーコンテナーへの異常なアクセスを試行しました。この異常なアクセスパターンは、正当なアクティビティである可能性があります。キーコンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次の方法で共有

Azure Key Vault のアラート

Azure Key Vault のアラート

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキーコンテナーへのアクセス)

Access from a TOR exit node to a key vault (TOR 出口ノードからキーコンテナーへのアクセス)

High volume of operations in a key vault (キーコンテナーでの大量の操作)

Suspicious policy change and secret query in a key vault (キーコンテナーでの不審なポリシー変更とシークレットクエリ)

Suspicious secret listing and query in a key vault (キーコンテナーでの不審なシークレット一覧取得とクエリ)

異常なアクセスが拒否されました - 大量のキーコンテナーにアクセスしているユーザーが拒否されました

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キーコンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

Unusual application accessed a key vault (異常なアプリケーションによるキーコンテナーへのアクセス)

Unusual operation pattern in a key vault (キーコンテナーでの異常な操作パターン)

Unusual user accessed a key vault (異常なユーザーによるキーコンテナーへのアクセス)

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキーコンテナーへのアクセス)

User accessed high volume of key vaults (ユーザーによる大量のキーコンテナーへのアクセス)

疑わしい IP アドレスからのキーコンテナーへのアクセスを拒否しました

疑わしい IP (Microsoft 以外または外部) からのキーコンテナーへの異常なアクセス

次のステップ

フィードバック

その他のリソース

次の方法で共有

Azure Key Vault のアラート

Azure Key Vault のアラート

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキー コンテナーへのアクセス)

Access from a TOR exit node to a key vault (TOR 出口ノードからキー コンテナーへのアクセス)

High volume of operations in a key vault (キー コンテナーでの大量の操作)

Suspicious policy change and secret query in a key vault (キー コンテナーでの不審なポリシー変更とシークレット クエリ)

Suspicious secret listing and query in a key vault (キー コンテナーでの不審なシークレット一覧取得とクエリ)

異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

Unusual application accessed a key vault (異常なアプリケーションによるキー コンテナーへのアクセス)

Unusual operation pattern in a key vault (キー コンテナーでの異常な操作パターン)

Unusual user accessed a key vault (異常なユーザーによるキー コンテナーへのアクセス)

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセス)

User accessed high volume of key vaults (ユーザーによる大量のキー コンテナーへのアクセス)

疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました

疑わしい IP (Microsoft 以外または外部) からのキー コンテナーへの異常なアクセス

次のステップ

フィードバック

その他のリソース

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキーコンテナーへのアクセス)

Access from a TOR exit node to a key vault (TOR 出口ノードからキーコンテナーへのアクセス)

High volume of operations in a key vault (キーコンテナーでの大量の操作)

Suspicious policy change and secret query in a key vault (キーコンテナーでの不審なポリシー変更とシークレットクエリ)

Suspicious secret listing and query in a key vault (キーコンテナーでの不審なシークレット一覧取得とクエリ)

異常なアクセスが拒否されました - 大量のキーコンテナーにアクセスしているユーザーが拒否されました

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キーコンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

Unusual application accessed a key vault (異常なアプリケーションによるキーコンテナーへのアクセス)

Unusual operation pattern in a key vault (キーコンテナーでの異常な操作パターン)

Unusual user accessed a key vault (異常なユーザーによるキーコンテナーへのアクセス)

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキーコンテナーへのアクセス)

User accessed high volume of key vaults (ユーザーによる大量のキーコンテナーへのアクセス)

疑わしい IP アドレスからのキーコンテナーへのアクセスを拒否しました

疑わしい IP (Microsoft 以外または外部) からのキーコンテナーへの異常なアクセス