Alertas para Armazenamento do Azure

Este artigo lista os alertas de segurança que você pode receber para o Armazenamento do Azure do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Observação

Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Armazenamento do Azure

Mais detalhes e observações

Acesso em um endereço IP suspeito

(Storage.Blob_SuspiciousApp)

Descrição: indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização. Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso de um endereço IP suspeito

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Descrição: indica que essa conta de armazenamento foi acessada com êxito de um endereço IP considerado suspeito. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Pré-ataque

Gravidade: Alta/Média/Baixa

Conteúdo de phishing hospedado em uma conta de armazenamento

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Descrição: uma URL usada em um ataque de phishing aponta para sua conta de Armazenamento do Azure. Essa URL fazia parte de um ataque de phishing que afetou os usuários do Microsoft 365. Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir as credenciais corporativas ou informações financeiras em um formulário da Web que parece legítimo. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Coleção

Gravidade: Alta

Conta de armazenamento identificada como fonte para distribuição de malware

(Storage.Files_WidespreadeAm)

Descrição: os alertas antimalware indicam que um arquivo infectado está armazenado em um compartilhamento de arquivos do Azure montado em várias VMs. Se os invasores conseguirem acessar uma VM com um compartilhamento de arquivo montado do Azure, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento. Aplica-se a: Arquivos do Azure

Táticas do MITRE: Execução

Gravidade: Média

O nível de acesso de um contêiner de blob possivelmente confidencial foi alterado para permitir o acesso público não autenticado

(Storage.Blob_OpenACL)

Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que pode conter dados confidenciais, para o nível 'Contêiner', para permitir o acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. Com base em análises estatísticas, o contêiner do blobs foi sinalizado como possivelmente contendo dados confidenciais. Essa análise sugere que os contêineres de blob ou contas de armazenamento com nomes semelhantes normalmente não estão expostos ao acesso público. Aplica-se às: contas de armazenamento de Blobs do Azure (Uso geral v2 Standard, Azure Data Lake Storage Gen2 ou blobs de bloco premium).

Táticas MITRE: Coleção

Gravidade: Média

Acesso autenticado de um nó de saída do Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Descrição: um ou mais contêineres de armazenamento/compartilhamento de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial / Pré-Ataque

Gravidade: Alta/Média

Acesso de um local incomum a uma conta de armazenamento

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Descrição: indica que houve uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acessou a conta de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum. Um exemplo do último é a manutenção remota de um novo aplicativo ou desenvolvedor. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média/Baixa

Acesso não autenticado incomum a um contêiner de armazenamento

(Storage.Blob_AnonymousAccessAnomaly)

Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Baixa

Possível malware carregado em uma conta de armazenamento

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Descrição: indica que um blob contendo malware potencial foi carregado em um contêiner de blob ou em um compartilhamento de arquivos em uma conta de armazenamento. Esse alerta é baseado na análise de reputação de hash aproveitando o poder da inteligência contra ameaças da Microsoft, que inclui hashes de vírus, cavalos de Troia, spyware e ransomware. As causas potenciais podem incluir um upload intencional de malware por um invasor ou um upload não intencional de um blob potencialmente mal-intencionado por um usuário legítimo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (somente para transações por API REST) Saiba mais sobre os recursos de inteligência contra ameaças da Microsoft.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

Contêineres de armazenamento acessíveis publicamente descobertos com êxito

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Descrição: uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de verificação.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Média

Falha no exame de contêineres de armazenamento acessíveis publicamente

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Descrição: uma série de tentativas malsucedidas de verificar se há contêineres de armazenamento abertos publicamente foram executadas na última hora.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O agente da ameaça pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Baixa

Inspeção de acesso incomum em uma conta de armazenamento

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Descrição: indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de maneira incomum, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas do MITRE: Descoberta

Gravidade: Alta/Média

Quantidade incomum de dados extraídos de uma conta de armazenamento

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Descrição: indica que uma quantidade excepcionalmente grande de dados foi extraída em comparação com a atividade recente neste contêiner de armazenamento. Uma possível causa é que um invasor extraiu uma grande quantidade de dados de um contêiner que mantém o armazenamento de BLOBs. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas do MITRE: Exfiltração

Gravidade: Alta/Baixa

Aplicativo incomum acessou uma conta de armazenamento

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Descrição: indica que um aplicativo incomum acessou essa conta de armazenamento. Uma possível causa é que um invasor acessou sua conta de armazenamento usando um novo aplicativo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas do MITRE: Execução

Gravidade: Alta/Média

Exploração de dados incomum em uma conta de armazenamento

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Descrição: indica que blobs ou contêineres em uma conta de armazenamento foram enumerados de maneira anormal, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas do MITRE: Execução

Gravidade: Alta/Média

Exclusão incomum em uma conta de armazenamento

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Descrição: indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor excluiu dados de sua conta de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas do MITRE: Exfiltração

Gravidade: Alta/Média

Acesso público incomum não autenticado a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento sem autenticação, usando um endereço IP externo (público). Trata-se de um acesso suspeito, já que o contêiner de blob está aberto ao acesso público e só costuma ser acessado com autenticação a partir de redes internas (endereços IP privados). Esse acesso pode indicar que o nível de acesso do contêiner de blob está configurado incorretamente e um ator mal-intencionado pode ter explorado o acesso público. O alerta de segurança inclui o contexto descoberto de informações confidenciais (hora da verificação, rótulo de classificação, tipos de informação e tipos de arquivo). Saiba mais sobre a detecção de ameaças contra dados confidenciais. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Quantidade incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descrição: o alerta indica que alguém extraiu uma quantidade excepcionalmente grande de dados de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas do MITRE: Exfiltração

Gravidade: Média

Número incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Descrição: o alerta indica que alguém extraiu um número excepcionalmente grande de blobs de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.

Táticas do MITRE: Exfiltração

Acesso de um aplicativo sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_SuspiciousApp.Sensitive

Descrição: o alerta indica que alguém com um aplicativo suspeito conhecido acessou um contêiner de blob com dados confidenciais na conta de armazenamento e executou operações autenticadas.
O acesso pode indicar que um agente de ameaça obteve credenciais para acessar a conta de armazenamento usando um aplicativo suspeito conhecido. No entanto, o acesso também pode indicar um teste de penetração realizado na organização. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Acesso de um endereço IP sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_SuspiciousIp.Sensitive

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento de um endereço IP suspeito conhecido associado à inteligência de ameaças da Microsoft pela Inteligência contra Ameaças da Microsoft. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas do MITRA: Pré-Ataque

Gravidade: Alta

Acesso de um nó de saída do Tor a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_TorAnomaly.Sensitive

Descrição: o alerta indica que alguém com um endereço IP conhecido como um nó de saída do Tor acessou um contêiner de blob com dados confidenciais na conta de armazenamento com acesso autenticado. O acesso autenticado de um nó de saída do Tor indica fortemente que o agente está tentando permanecer anônimo para uma possível intenção maliciosa. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas do MITRA: Pré-Ataque

Gravidade: Alta

Acesso a um contêiner de blob confidencial a partir de um local incomum (Versão Prévia)

Storage.Blob_GeoAnomaly.Sensitive

Descrição: o alerta indica que alguém acessou o contêiner de blob com dados confidenciais na conta de armazenamento com autenticação de um local incomum. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Média

O nível de acesso de um contêiner de blob de armazenamento confidencial foi alterado para permitir acesso público não autenticado

Storage.Blob_OpenACL.Sensitive

Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que contém dados confidenciais, para o nível 'Contêiner', que permite acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. A alteração do nível de acesso pode comprometer a segurança dos dados. Recomendamos que você tome providências imediatas para proteger os dados e impedir o acesso não autorizado caso esse alerta seja disparado. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso de detecção de ameaças de confidencialidade de dados habilitado.

Táticas MITRE: Coleção

Gravidade: Alta

Acesso externo suspeito a uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)

Storage.Blob_AccountSas.InternalSasUsedExternally

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. Esse tipo de acesso é considerado suspeito porque o token SAS costuma ser usado apenas em redes internas (a partir de endereços IP privados). A atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento.

Táticas do MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Operação externa suspeita para uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. O acesso é considerado suspeito porque operações invocadas fora da sua rede (não a partir de endereços IP privados) com esse token SAS costumam ser usadas para um conjunto específico de operações de Leitura/Gravação/Exclusão, mas outras operações ocorreram, o que torna esse acesso suspeito. Essa atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento.

Táticas do MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Um token SAS incomum foi usado para acessar uma conta de armazenamento do Azure a partir de um endereço IP público (Versão Prévia)

Storage.Blob_AccountSas.UnusualExternalAccess

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS de conta. O acesso é altamente incomum e considerado suspeito, já que o acesso à conta de armazenamento usando tokens SAS costuma ser proveniente apenas de endereços IP internos (privados). É possível que um token SAS tenha sido vazado ou gerado por um agente mal-intencionado, de dentro da sua organização ou externamente, para obter acesso a essa conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento.

Táticas do MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Baixa

Arquivo mal-intencionado carregado em uma conta de armazenamento

Storage.Blob_AM.MalwareFound

Descrição: o alerta indica que um blob mal-intencionado foi carregado em uma conta de armazenamento. Esse alerta de segurança é gerado pelo recurso Verificação de Malware do Defender para Armazenamento. As causas potenciais podem incluir um upload intencional de malware por um agente de ameaça ou um upload não intencional de um arquivo malicioso por um usuário legítimo. Aplica-se a: contas de armazenamento de Blob do Azure (Standard de uso geral v2, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano do Defender para Armazenamento com o recurso Verificação de Malware habilitado.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

O blob mal-intencionado foi baixado de uma conta de armazenamento (versão prévia)

Storage.Blob_MalwareDownload

Descrição: o alerta indica que um blob mal-intencionado foi baixado de uma conta de armazenamento. As causas potenciais podem incluir malware que foi carregado na conta de armazenamento e não removido ou colocado em quarentena, permitindo assim que um agente de ameaça o baixe ou um download não intencional do malware por usuários ou aplicativos legítimos. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso Verificação de Malware habilitado.

Táticas MITRE: Movimento Lateral

Gravidade: Alta, se Eicar - baixa

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas