Оповещения для Azure Key Vault

В этой статье перечислены оповещения системы безопасности, которые вы можете получить для Azure Key Vault из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения Azure Key Vault

Дополнительные сведения и примечания

Доступ с подозрительного IP-адреса к хранилищу ключей

(KV_SuspiciousIPAccess)

Описание. Хранилище ключей успешно обращается к IP-адресу, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Это может указывать на то, что инфраструктура скомпрометирована. Рекомендуем провести дополнительное исследование. Подробнее о возможностях Microsoft Threat Intelligence.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Access from a TOR exit node to a key vault (Доступ из выходного узла TOR к хранилищу ключей)

(KV_TORAccess)

Описание. Доступ к хранилищу ключей был получен из известного узла выхода TOR. Это может означать, что у субъекта угрозы есть доступ к хранилищу ключей и он использует сеть TOR для скрытия исходного расположения. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

High volume of operations in a key vault (Большой объем операций в хранилище ключей)

(KV_OperationVolumeAnomaly)

Описание. Аномальное количество операций хранилища ключей выполнялось пользователем, субъектом-службой и /или определенным хранилищем ключей. Этот аномальный шаблон действий может быть законным, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Suspicious policy change and secret query in a key vault (Подозрительные изменения политики и запрос секрета в хранилище ключей)

(KV_PutGetAnomaly)

Описание. Пользователь или субъект-служба выполнил аномальную операцию изменения политики Vault, за которой следует одна или несколько операций получения секретов. Этот шаблон обычно не выполнялся указанным пользователем или субъектом-службой. Это может быть законное действие, но это может быть признаком того, что субъект угроз обновил политику хранилища ключей для доступа к ранее недоступным секретам. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Suspicious secret listing and query in a key vault (Подозрительный список и запрос секретов в хранилище ключей)

(KV_ListGetAnomaly)

Описание. Пользователь или субъект-служба выполнил аномальную операцию списка секретов, за которой следует одна или несколько операций получения секретов. Этот шаблон обычно не выполнялся указанным пользователем или субъектом-службой и, как правило, он связан с созданием аварийного дампа секретов. Это может быть законное действие, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей и пытается обнаружить секреты, которые можно использовать для бокового перемещения по сети и /или получения доступа к конфиденциальным ресурсам. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Запрещен необычный доступ — пользователю запрещен доступ к большому количеству хранилищ ключей

(KV_AccountVolumeAccessDeniedAnomaly)

Описание. Пользователь или субъект-служба пытались получить доступ к аномально высокому объему хранилищ ключей за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: Обнаружение

Серьезность: низкая

Запрещен необычный доступ — пользователю запрещен необычный доступ к хранилищу ключей

(KV_UserAccessDeniedAnomaly)

Описание. Доступ к хранилищу ключей был предпринят пользователем, который обычно не обращается к нему, этот аномальный шаблон доступа может быть законным действием. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам.

Тактика MITRE: начальный доступ, обнаружение

Серьезность: низкая

Unusual application accessed a key vault (Необычное приложение, которое обращалось к хранилищу ключей)

(KV_AppAnomaly)

Описание. К хранилищу ключей обращается субъект-служба, к которому обычно не обращается. Этот аномальный шаблон доступа может быть законным действием, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей в попытке получить доступ к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Unusual operation pattern in a key vault (Необычный шаблон операций в хранилище ключей)

(KV_OperationPatternAnomaly)

Описание. Аномальный шаблон операций хранилища ключей был выполнен пользователем, субъектом-службой и /или определенным хранилищем ключей. Этот аномальный шаблон действий может быть законным, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Unusual user accessed a key vault (Необычный доступ к хранилищу ключей)

(KV_UserAnomaly)

Описание. Доступ к хранилищу ключей был предоставлен пользователем, который обычно не обращается к нему. Этот аномальный шаблон доступа может быть законным действием, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей в попытке получить доступ к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Unusual user-application pair accessed a key vault (Необычная пара "пользователь — приложение" обратилась к хранилищу ключей)

(KV_UserAppAnomaly)

Описание. Доступ к хранилищу ключей был предоставлен парой субъекта-службы пользователей, к ней обычно не обращается. Этот аномальный шаблон доступа может быть законным действием, но это может быть признаком того, что субъект угроз получил доступ к хранилищу ключей в попытке получить доступ к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

User accessed high volume of key vaults (Обращение пользователя к большому числу хранилищ ключей)

(KV_AccountVolumeAnomaly)

Описание. Пользователь или субъект-служба получил доступ к аномально большому объему хранилищ ключей. Этот аномальный шаблон доступа может быть законным действием, но это может быть признаком того, что субъект угроз получил доступ к нескольким хранилищам ключей в попытке получить доступ к секретам, содержащимся в них. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Отказ в доступе из подозрительного IP-адреса в хранилище ключей

(KV_SuspiciousIPAccessDenied)

Описание. Неудачный доступ к хранилищу ключей был предпринят попыткой IP-адреса, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Хотя эта попытка была неудачной, это означает, что ваша инфраструктура может быть скомпрометирована. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: низкая

Необычный доступ к хранилищу ключей из подозрительного IP-адреса (не майкрософт или внешний)

(KV_UnusualAccessSuspiciousIP)

Описание. Пользователь или субъект-служба попытались получить аномальный доступ к хранилищам ключей из IP-адреса, отличного от Майкрософт, за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Это может быть признаком возможной попытки получить доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги