Alerty dotyczące usługi Azure Cosmos DB
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usługi Azure Cosmos DB z Microsoft Defender dla Chmury i wszystkie włączone plany usługi Microsoft Defender. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty usługi Azure Cosmos DB
Dostęp z węzła zakończenia tor
(CosmosDB_TorAnomaly)
Opis: To konto usługi Azure Cosmos DB zostało pomyślnie użyte z adresu IP znanego jako aktywny węzeł wyjścia tor, anonimizujący serwer proxy. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość.
Taktyka MITRE: dostęp początkowy
Ważność: wysoka/średnia
Dostęp z podejrzanego adresu IP
(CosmosDB_SuspiciousIp)
Opis: To konto usługi Azure Cosmos DB zostało pomyślnie pobrane z adresu IP, który został zidentyfikowany jako zagrożenie przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Dostęp z nietypowej lokalizacji
(CosmosDB_GeoAnomaly)
Opis: Do tego konta usługi Azure Cosmos DB uzyskiwano dostęp z lokalizacji uważanej za nieznane na podstawie zwykłego wzorca dostępu.
Aktor zagrożenia uzyskał dostęp do konta lub uprawniony użytkownik nawiązał połączenie z nowej lub nietypowej lokalizacji geograficznej
Taktyka MITRE: dostęp początkowy
Ważność: Niska
Nietypowa ilość wyodrębnionych danych
(CosmosDB_DataExfiltrationAnomaly)
Opis: Niezwykle duża ilość danych została wyodrębniona z tego konta usługi Azure Cosmos DB. Może to wskazywać, że aktor zagrożeń eksfiltrował dane.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Wyodrębnianie kluczy kont usługi Azure Cosmos DB za pośrednictwem potencjalnie złośliwego skryptu
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec operacji listy kluczy, aby pobrać klucze kont usługi Azure Cosmos DB w ramach subskrypcji. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak Microburst, do wyświetlania listy kluczy i znajdowania kont usługi Azure Cosmos DB, do których mogą uzyskiwać dostęp.
Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć zabezpieczenia kont usługi Azure Cosmos DB w środowisku pod kątem złośliwych intencji.
Alternatywnie złośliwy insider może próbować uzyskać dostęp do poufnych danych i przeprowadzić przenoszenie boczne.
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
Podejrzane wyodrębnianie kluczy konta usługi Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Opis: podejrzane źródło wyodrębniło klucze dostępu konta usługi Azure Cosmos DB z subskrypcji. Jeśli to źródło nie jest legalnym źródłem, może to być problem o dużym wpływie. Wyodrębniony klucz dostępu zapewnia pełną kontrolę nad skojarzonymi bazami danych i przechowywanymi w nim danymi. Zobacz szczegóły każdego konkretnego alertu, aby dowiedzieć się, dlaczego źródło zostało oznaczone jako podejrzane.
Taktyka MITRE: dostęp do poświadczeń
Ważność: wysoka
Wstrzyknięcie kodu SQL: potencjalna eksfiltracja danych
(CosmosDB_SqlInjection.DataExfiltration)
Opis: do wykonywania zapytań dotyczących kontenera na tym koncie usługi Azure Cosmos DB użyto podejrzanej instrukcji SQL.
Instrukcja wstrzykiwana mogła pomyślnie eksfiltrować dane, do których aktor zagrożenia nie ma autoryzacji dostępu.
Ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL na kontach usługi Azure Cosmos DB nie może działać. Jednak odmiana używana w tym ataku może działać, a podmioty zagrożeń mogą eksfiltrować dane.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Wstrzyknięcie kodu SQL: próba rozmycia
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Opis: do wykonywania zapytań dotyczących kontenera na tym koncie usługi Azure Cosmos DB użyto podejrzanej instrukcji SQL.
Podobnie jak w przypadku innych dobrze znanych ataków polegających na wstrzyknięciu kodu SQL, ten atak nie powiedzie się z naruszeniem konta usługi Azure Cosmos DB.
Niemniej jednak oznacza to, że aktor zagrożeń próbuje zaatakować zasoby na tym koncie, a twoja aplikacja może zostać naruszona.
Niektóre ataki polegających na wstrzyknięciu kodu SQL mogą zakończyć się powodzeniem i użyć ich do eksfiltracji danych. Oznacza to, że jeśli osoba atakująca nadal wykonuje próby wstrzyknięcia kodu SQL, może być w stanie naruszyć bezpieczeństwo konta usługi Azure Cosmos DB i eksfiltrować dane.
To zagrożenie można zapobiec przy użyciu sparametryzowanych zapytań.
Taktyka MITRE: Atak przed atakiem
Ważność: Niska
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.