Оповещения для службы хранилища Azure

В этой статье перечислены оповещения системы безопасности, которые можно получить для служба хранилища Azure из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

оповещения служба хранилища Azure

Дополнительные сведения и примечания

Доступ из подозрительного приложения

(Storage.Blob_SuspiciousApp)

Описание. Указывает, что подозрительное приложение успешно обращается к контейнеру учетной записи хранения с проверкой подлинности. Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение. Применимо к: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ

Серьезность: высокий или средний

Доступ с подозрительного IP-адреса

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Описание. Указывает, что эта учетная запись хранения успешно получена из IP-адреса, который считается подозрительным. Это оповещение создано с помощью Microsoft Threat Intelligence. Подробнее о возможностях Microsoft Threat Intelligence. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: предварительная атака

Серьезность: высокий/средний/низкий

Фишинговое содержимое, размещенное в учетной записи хранения

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Описание. URL-адрес, используемый в фишинговой атаке, указывает на учетную запись служба хранилища Azure. Этот URL-адрес был частью фишинговой атаки, направленной на пользователей Microsoft 365. Как правило, содержимое, размещенное на таких страницах, предназначено для того, чтобы посетители вводили корпоративные учетные данные или финансовые сведения в веб-форму, которая выглядит безопасно. Это оповещение создано с помощью Microsoft Threat Intelligence. Подробнее о возможностях Microsoft Threat Intelligence. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Учетная запись хранения, определяемая как источник для распространения вредоносных программ

(Storage.Files_WidespreadeAm)

Описание. Оповещения защиты от вредоносных программ указывают на то, что зараженные файлы хранятся в общей папке Azure, подключенной к нескольким виртуальным машинам. Если злоумышленники получат доступ к виртуальной машине с подключенной общей папкой Azure, они могут использовать ее для распространения вредоносных программ на другие виртуальные машины, которые подключены к той же общей папке. Область применения: Файлы Azure

Тактика MITRE: Выполнение

Серьезность: средний

Уровень доступа потенциально конфиденциального контейнера BLOB-объектов хранилища был изменен, чтобы разрешить общедоступный доступ без проверки подлинности.

(Storage.Blob_OpenACL)

Описание. Оповещение указывает, что пользователь изменил уровень доступа контейнера BLOB-объектов в учетной записи хранения, который может содержать конфиденциальные данные на уровень "Контейнер", чтобы разрешить общедоступный доступ без проверки подлинности (анонимный). Это изменение было внесено через портал Azure. На основе статистического анализа контейнер BLOB-объектов помечается как возможно содержащий конфиденциальные данные. В этом анализе предполагается, что контейнеры БОЛЬШИХ двоичных объектов или учетные записи хранения с аналогичными именами обычно не предоставляются общедоступному доступу. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум").

Тактика MITRE: Коллекция

Серьезность: средний

Authenticated access from a TOR exit node (Аутентифицированный доступ с выходного узла TOR)

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Описание. Один или несколько контейнеров хранилища / общих папок в вашей учетной записи хранения успешно получили доступ из IP-адреса, известного как активный узел выхода Tor (анонимный прокси-сервер). Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ / предварительная атака

Серьезность: высокий или средний

Access from an unusual location to a storage account (Доступ из необычного расположения к учетной записи хранения)

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Описание. Указывает, что в шаблоне доступа была изменена учетная запись служба хранилища Azure. Кто-то получил доступ к этой учетной записи с IP адреса, который был признан неизвестным при сравнении с последним действием. Либо злоумышленник получил доступ к учетной записи, либо допустимый пользователь подключился из нового или необычного географического расположения. Примером последнего является удаленное обслуживание нового приложения или разработчика. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ

Серьезность: высокий/средний/низкий

Unusual unauthenticated access to a storage container (Необычный доступ без проверки подлинности к контейнеру хранилища)

(Storage.Blob_AnonymousAccessAnomaly)

Описание. Доступ к этой учетной записи хранения был выполнен без проверки подлинности, что является изменением общего шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure

Тактика MITRE: первоначальный доступ

Серьезность: высокий или низкий

Potential malware uploaded to a storage account (Потенциально вредоносная программа, отправленная в учетную запись хранения)

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Описание. Указывает, что большой двоичный объект, содержащий потенциальные вредоносные программы, был отправлен в контейнер BLOB-объектов или общую папку в учетной записи хранения. Это оповещение основано на анализе репутации хэшей, использующем возможности службы Microsoft Threat Intelligence, которая содержит хэши вирусов, программ-троянов, шпионских программ и программ-шантажистов. Возможные причины могут включать преднамеренная отправка вредоносных программ злоумышленником или непреднамеренная отправка потенциально вредоносного большого двоичного объекта законным пользователем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure (только для транзакций через REST API) Дополнительные сведения о возможностях аналитики угроз Майкрософт.

Тактика MITRE: боковое движение

Серьезность: высокий уровень

Успешно обнаружены общедоступные контейнеры хранилища

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Описание. Успешное обнаружение открытых контейнеров хранилища в учетной записи хранения было выполнено в последний час с помощью скрипта или средства сканирования.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Субъект угроз может использовать собственный скрипт или использовать известные средства сканирования, такие как Microburst, для проверки открытых контейнеров.

✔ ✖ Хранилище BLOB-объектов Azure Файлы Azure Azure Data Lake Storage 2-го поколения ✖

Тактика MITRE: Коллекция

Серьезность: высокий или средний

Успешно просканированы общедоступные контейнеры хранилища

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Описание. В последний час выполнялась серия неудачных попыток сканирования открытых контейнеров хранилища.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Субъект угроз может использовать собственный скрипт или использовать известные средства сканирования, такие как Microburst, для проверки открытых контейнеров.

✔ ✖ Хранилище BLOB-объектов Azure Файлы Azure Azure Data Lake Storage 2-го поколения ✖

Тактика MITRE: Коллекция

Серьезность: высокий или низкий

Unusual access inspection in a storage account (Необычная проверка доступа в учетной записи хранения)

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Описание. Указывает, что разрешения доступа учетной записи хранения были проверены необычным образом по сравнению с недавними действиями в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Обнаружение

Серьезность: высокий или средний

Unusual amount of data extracted from a storage account (Необычный объем данных, извлеченных из учетной записи хранения)

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Описание. Указывает, что необычно большое количество данных было извлечено по сравнению с недавними действиями в этом контейнере хранилища. Потенциальная причина заключается в том, что злоумышленник извлек большой объем данных из контейнера, содержащего хранилище BLOB-объектов. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: Эксфильтрация

Серьезность: высокий или низкий

Unusual application accessed a storage account (Необычное приложение, которое обращалось к учетной записи хранения)

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Описание. Указывает, что необычное приложение обращается к этой учетной записи хранения. Потенциальная причина заключается в том, что злоумышленник получил доступ к вашей учетной записи хранения с помощью нового приложения. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Выполнение

Серьезность: высокий или средний

Unusual data exploration in a storage account (Необычные исследования данных в учетной записи хранения)

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Описание. Указывает, что большие двоичные объекты или контейнеры в учетной записи хранения были перечислены ненормально, по сравнению с недавними действиями в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Выполнение

Серьезность: высокий или средний

Unusual deletion in a storage account (Необычное удаление в учетной записи хранения)

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Описание. Указывает, что в учетной записи хранения произошла одна или несколько непредвиденных операций удаления, по сравнению с недавними действиями в этой учетной записи. Потенциальная причина заключается в том, что злоумышленник удалил данные из вашей учетной записи хранения. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: Эксфильтрация

Серьезность: высокий или средний

Необычный общедоступный доступ к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Описание. Оповещение указывает, что пользователь обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения без проверки подлинности, используя внешний (общедоступный) IP-адрес. Этот доступ является подозрительным, так как контейнер BLOB-объектов открыт для общедоступного доступа и обычно осуществляется только с проверкой подлинности из внутренних сетей (частные IP-адреса). Этот доступ может указывать на то, что уровень доступа контейнера BLOB-объектов неправильно настроен, и злоумышленник, возможно, использовал общедоступный доступ. Оповещение системы безопасности включает в себя контекст обнаруженной конфиденциальной информации (время сканирования, метка классификации, типы сведений и типы файлов). Дополнительные сведения об обнаружении угроз конфиденциальных данных. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: высокий уровень

Необычный объем данных, извлеченных из контейнера конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Описание: оповещение указывает, что пользователь извлек необычно большой объем данных из контейнера БОЛЬШИХ двоичных объектов с конфиденциальными данными в учетной записи хранения. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Необычное количество больших двоичных объектов, извлеченных из контейнера конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Описание: оповещение указывает, что кто-то извлек необычно большое количество больших двоичных объектов из контейнера BLOB-объектов с конфиденциальными данными в учетной записи хранения. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Эксфильтрация

Доступ из известного подозрительного приложения к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_SuspiciousApp.Sensitive

Описание. Оповещение указывает, что кто-то с известным подозрительным приложением обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения и выполняет прошедшие проверку подлинности операции.
Доступ может указывать на то, что субъект угроз получил учетные данные для доступа к учетной записи хранения с помощью известного подозрительного приложения. Однако доступ также может указывать на тест на проникновение, проведенный в организации. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: высокий уровень

Доступ из известного подозрительного IP-адреса к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_SuspiciousIp.Sensitive

Описание: оповещение указывает, что кто-то обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения из известного подозрительного IP-адреса, связанного с угрозой intel от Microsoft Threat Intelligence. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Подробнее о возможностях Microsoft Threat Intelligence. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: предварительная атака

Серьезность: высокий уровень

Доступ из узла выхода Tor к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_TorAnomaly.Sensitive

Описание. Оповещение указывает, что у кого-то с IP-адресом, известным как узел выхода из Tor, обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения с прошедшим проверку подлинности доступом. Прошедший проверку подлинности доступ из узла выхода Tor строго указывает, что субъект пытается оставаться анонимным для возможного злонамеренного намерения. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: предварительная атака

Серьезность: высокий уровень

Доступ из необычного расположения к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

Storage.Blob_GeoAnomaly.Sensitive

Описание. Оповещение указывает, что у кого-то есть доступ к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения с проверкой подлинности из необычного расположения. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Уровень доступа контейнера BLOB-объектов конфиденциального хранилища был изменен, чтобы разрешить общедоступный доступ без проверки подлинности.

Storage.Blob_OpenACL.Sensitive

Описание. Оповещение указывает, что пользователь изменил уровень доступа контейнера BLOB-объектов в учетной записи хранения, содержащей конфиденциальные данные, на уровень "Контейнер", который разрешает общедоступный доступ без проверки подлинности (анонимный). Это изменение было внесено через портал Azure. Изменение уровня доступа может компрометации безопасности данных. Рекомендуется немедленно предпринять действия для защиты данных и предотвращения несанкционированного доступа в случае активации этого оповещения. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Подозрительный внешний доступ к учетной записи хранения Azure с чрезмерно пропустительным маркером SAS (предварительная версия)

Storage.Blob_AccountSas.InternalSasUsedExternally

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом обращается к учетной записи хранения, используя слишком разрешительный маркер SAS с длительным сроком действия. Этот тип доступа считается подозрительным, так как маркер SAS обычно используется только во внутренних сетях (из частных IP-адресов). Это действие может указывать на утечку маркера SAS злоумышленником или утечкой непреднамеренного источника. Даже если доступ является законным, использование маркера SAS высокого разрешения с длительным сроком действия соответствует рекомендациям по безопасности и представляет потенциальный риск безопасности. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум") с новым планом Defender для хранения.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: средний

Подозрительные внешние операции с учетной записью хранения Azure с чрезмерно пропустительным маркером SAS (предварительная версия)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом обращается к учетной записи хранения, используя слишком разрешительный маркер SAS с длительным сроком действия. Доступ считается подозрительным, так как операции, вызываемые за пределами сети (не из частных IP-адресов) с этим маркером SAS, обычно используются для определенного набора операций чтения и записи и удаления, но другие операции возникают, что делает этот доступ подозрительным. Это действие может указывать на утечку маркера SAS злоумышленником или утечку непреднамеренного источника. Даже если доступ является законным, использование маркера SAS высокого разрешения с длительным сроком действия соответствует рекомендациям по безопасности и представляет потенциальный риск безопасности. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум") с новым планом Defender для хранения.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: средний

Необычный маркер SAS использовался для доступа к учетной записи хранения Azure с общедоступного IP-адреса (предварительная версия)

Storage.Blob_AccountSas.UnusualExternalAccess

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом получил доступ к учетной записи хранения с помощью маркера SAS учетной записи. Доступ очень необычный и считается подозрительным, так как доступ к учетной записи хранения с использованием маркеров SAS обычно поступает только из внутренних (частных) IP-адресов. Возможно, что маркер SAS был утечкой или создан вредоносным субъектом из вашей организации или внешним способом для получения доступа к этой учетной записи хранения. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум") с новым планом Defender для хранения.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: низкая

Вредоносный файл, отправленный в учетную запись хранения

Storage.Blob_AM. Вредоносные программыFound

Описание. Оповещение указывает, что вредоносный BLOB-объект был отправлен в учетную запись хранения. Это оповещение системы безопасности создается функцией сканирования вредоносных программ в Defender для хранилища. Возможные причины могут включать преднамеренная отправка вредоносных программ субъектом угрозы или непреднамеренной отправкой вредоносного файла законным пользователем. Применяется к: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией сканирования вредоносных программ.

Тактика MITRE: боковое движение

Серьезность: высокий уровень

Вредоносный большой двоичный объект был скачан из учетной записи хранения (предварительная версия)

Storage.Blob_MalwareDownload

Описание. Оповещение указывает, что вредоносный BLOB-объект был скачан из учетной записи хранения. Возможные причины могут включать вредоносные программы, которые были отправлены в учетную запись хранения и не удалены или не помещены в карантин, что позволяет субъекту угроз скачать его или непреднамеренной загрузке вредоносных программ законными пользователями или приложениями. Область применения: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом хранения Defender для хранилища с включенной функцией сканирования вредоносных программ.

Тактика MITRE: боковое движение

Серьезность: высокий, если Эйкар - низкий

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги