Alertas para o Azure Key Vault
Este artigo lista os alertas de segurança que você pode receber para o Azure Key Vault do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Azure Key Vault
Acesso a partir de um endereço IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccess)
Descrição: Um cofre de chaves foi acedido com êxito por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso de um nó de saída TOR a um cofre de chaves
(KV_TORAccess)
Descrição: Um cofre de chaves foi acessado a partir de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um agente de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alto volume de operações em um cofre de chaves
(KV_OperationVolumeAnomaly)
Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alteração suspeita de política e consulta secreta em um cofre de chaves
(KV_PutGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de alteração de política do Vault Put seguida por uma ou mais operações Secret Get. Esse padrão normalmente não é executado pelo usuário ou entidade de serviço especificada. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Lista de segredos suspeita e consulta num key vault
(KV_ListGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obter Secreto. Este padrão normalmente não é executado pelo utilizador ou principal de serviço especificada e normalmente está associado à captura de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela sua rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso incomum negado - Usuário que acessa alto volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Discovery
Gravidade: Baixa
Acesso incomum negado - Usuário incomum acessando cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Descrição: Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.
Táticas MITRE: Acesso inicial, descoberta
Gravidade: Baixa
Aplicativo incomum acessou um cofre de chaves
(KV_AppAnomaly)
Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Padrão de operação incomum em um cofre de chaves
(KV_OperationPatternAnomaly)
Descrição: um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Usuário incomum acessou um cofre de chaves
(KV_UserAnomaly)
Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Par usuário-aplicativo incomum acessou um cofre de chaves
(KV_UserAppAnomaly)
Descrição: um cofre de chaves foi acessado por um par de entidade de serviço de usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
O usuário acessou um grande volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso negado de um IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccessDenied)
Descrição: Um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Baixa
Acesso incomum ao cofre de chaves a partir de um IP suspeito (não Microsoft ou externo)
(KV_UnusualAccessSuspiciousIP)
Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não seja da Microsoft nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.