Alertas para o Azure Key Vault

Este artigo lista os alertas de segurança que você pode receber para o Azure Key Vault do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Observação

Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Azure Key Vault

Mais detalhes e observações

Acesso de um endereço IP suspeito para um cofre de chaves

(KV_SuspiciousIPAccess)

Descrição: um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Acesso de um nó de saída do TOR a um cofre de chaves

(KV_TORAccess)

Descrição: um cofre de chaves foi acessado de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um ator de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Alto volume de operações em um cofre de chaves

(KV_OperationVolumeAnomaly)

Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Alteração de política suspeita e consulta de segredo em um cofre de chaves

(KV_PutGetAnomaly)

Descrição: um usuário ou entidade de serviço executou uma operação de alteração de política de colocação do Vault anômala seguida por uma ou mais operações de obtenção de segredo. Esse padrão normalmente não é executado pelo usuário ou pela entidade de serviço especificada. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Listagem e consulta secreta suspeitas em um cofre de chaves

(KV_ListGetAnomaly)

Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obtenção de Segredo. Esse padrão normalmente não é executado pelo usuário nem pela entidade de serviço especificada e normalmente está associado ao despejo de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado

(KV_AccountVolumeAccessDeniedAnomaly)

Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas do MITRE: Descoberta

Gravidade: Baixa

Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado

(KV_UserAccessDeniedAnomaly)

Descrição: um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.

Táticas MITRE: Acesso Inicial, Descoberta

Gravidade: Baixa

Aplicativo incomum acessou um cofre de chaves

(KV_AppAnomaly)

Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Padrão de operação incomum em um cofre de chaves

(KV_OperationPatternAnomaly)

Descrição: um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Um usuário incomum acessou um cofre de chaves

(KV_UserAnomaly)

Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Um par incomum de usuário-aplicativo acessou um cofre de chaves

(KV_UserAppAnomaly)

Descrição: um cofre de chaves foi acessado por um par de entidade de serviço do usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves na tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

O usuário acessou um alto volume de cofres de chaves

(KV_AccountVolumeAnomaly)

Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Acesso negado de um IP suspeito a um cofre de chaves

(KV_SuspiciousIPAccessDenied)

Descrição: um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Baixa

Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo)

(KV_UnusualAccessSuspiciousIP)

Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não é da Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas