Aviseringar för Azure Key Vault

I den här artikeln visas de säkerhetsaviseringar du kan få för Azure Key Vault från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.

Lär dig hur du svarar på dessa aviseringar.

Lär dig hur du exporterar aviseringar.

Azure Key Vault-aviseringar

Mer information och anteckningar

Åtkomst från en misstänkt IP-adress till ett nyckelvalv

(KV_SuspiciousIPAccess)

Beskrivning: Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Åtkomst från en TOR-slutnod till ett nyckelvalv

(KV_TORAccess)

Beskrivning: Ett nyckelvalv har använts från en känd TOR-avslutningsnod. Detta kan vara en indikation på att en hotskådespelare har åtkomst till nyckelvalvet och använder TOR-nätverket för att dölja sin källplats. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Stora mängder åtgärder i ett nyckelvalv

(KV_OperationVolumeAnomaly)

Beskrivning: Ett avvikande antal nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt principändring och hemlig fråga i ett nyckelvalv

(KV_PutGetAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande ändringsåtgärd för Valv put-princip följt av en eller flera hemliga Get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har uppdaterat nyckelvalvspolicyn för att få åtkomst till tidigare otillgängliga hemligheter. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt hemlig lista och fråga i ett nyckelvalv

(KV_ListGetAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande hemlighetslista följt av en eller flera åtgärder för hemlig get. Detta mönster utförs normalt inte av den angivna användaren eller tjänstens huvudnamn och är vanligtvis associerat med hemlig dumpning. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotaktör har fått åtkomst till nyckelvalvet och försöker identifiera hemligheter som kan användas för att flytta i sidled genom nätverket och/eller få åtkomst till känsliga resurser. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas

(KV_AccountVolumeAccessDeniedAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Låg

Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad

(KV_UserAccessDeniedAnomaly)

Beskrivning: En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det.

MITRE-taktik: Initial åtkomst, identifiering

Allvarlighetsgrad: Låg

Ovanligt program som används i ett nyckelvalv

(KV_AppAnomaly)

Beskrivning: Ett nyckelvalv har använts av ett huvudnamn för tjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanligt åtgärdsmönster i ett nyckelvalv

(KV_OperationPatternAnomaly)

Beskrivning: Ett avvikande mönster för nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig användare har använt ett nyckelvalv

(KV_UserAnomaly)

Beskrivning: Ett nyckelvalv har använts av en användare som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanligt användarprogrampar har använt ett nyckelvalv

(KV_UserAppAnomaly)

Beskrivning: Ett nyckelvalv har använts av ett huvudnamnpar för användartjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Användaren har använt stora mängder nyckelvalv

(KV_AccountVolumeAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har använt en avvikande stor mängd nyckelvalv. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till flera nyckelvalv i ett försök att komma åt hemligheterna i dem. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv

(KV_SuspiciousIPAccessDenied)

Beskrivning: En misslyckad åtkomst till nyckelvalvet har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Låg

Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern)

(KV_UnusualAccessSuspiciousIP)

Beskrivning: En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Nästa steg

• Säkerhetsaviseringar i Microsoft Defender för molnet
• Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet
• Exportera kontinuerligt Defender for Cloud-data