Aviseringar för Azure Storage
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure Storage från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Microsoft Defender Hotinformation och Microsoft Defender för Endpoint kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Azure Storage-aviseringar
Mer information och anteckningar
Åtkomst från ett misstänkt program
(Storage.Blob_SuspiciousApp)
Beskrivning: Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en misstänkt IP-adress
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Beskrivning: Anger att det här lagringskontot har använts från en IP-adress som anses vara misstänkt. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög/medel/låg
Nätfiskeinnehåll som finns på ett lagringskonto
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Beskrivning: En URL som används i en nätfiskeattack pekar på ditt Azure Storage-konto. Den här URL:en var en del av en nätfiskeattack som påverkade användare av Microsoft 365. Vanligtvis är innehåll som finns på sådana sidor utformat för att lura besökare att ange sina företagsautentiseringsuppgifter eller ekonomisk information i ett webbformulär som ser legitimt ut. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
Lagringskonto identifieras som källa för distribution av skadlig kod
(Storage.Files_WidespreadeAm)
Beskrivning: Aviseringar om program mot skadlig kod anger att en eller flera infekterade filer lagras i en Azure-filresurs som är monterad på flera virtuella datorer. Om angripare får åtkomst till en virtuell dator med en monterad Azure-filresurs kan de använda den för att sprida skadlig kod till andra virtuella datorer som monterar samma resurs. Gäller för: Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Åtkomstnivån för en potentiellt känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst
(Storage.Blob_OpenACL)
Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som kan innehålla känsliga data, till containernivån för att tillåta oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes genom Azure Portal. Baserat på statistisk analys flaggas blobcontainern som möjligen innehåller känsliga data. Den här analysen tyder på att blobcontainrar eller lagringskonton med liknande namn vanligtvis inte exponeras för offentlig åtkomst. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs).
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Autentiserad åtkomst från en tor-slutnod
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Beskrivning: En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst/förattack
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en ovanlig plats till ett lagringskonto
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Beskrivning: Anger att åtkomstmönstret har ändrats till ett Azure Storage-konto. Någon har använt det här kontot från en IP-adress som anses vara obekant jämfört med den senaste aktiviteten. Antingen har en angripare fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats. Ett exempel på det senare är fjärrunderhåll från ett nytt program eller en ny utvecklare. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medel/låg
Ovanlig oautentiserad åtkomst till en lagringscontainer
(Storage.Blob_AnonymousAccessAnomaly)
Beskrivning: Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/låg
Potentiell skadlig kod som laddats upp till ett lagringskonto
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Beskrivning: Anger att en blob som innehåller potentiell skadlig kod har laddats upp till en blobcontainer eller en filresurs i ett lagringskonto. Den här varningen baseras på hash-ryktesanalys som utnyttjar kraften i Microsofts hotinformation, som innehåller hashvärden för virus, trojaner, spionprogram och utpressningstrojaner. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en angripare eller en oavsiktlig uppladdning av en potentiellt skadlig blob av en legitim användare. Gäller för: Azure Blob Storage, Azure Files (endast för transaktioner via REST API) Läs mer om Microsofts funktioner för hotinformation.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Offentligt tillgängliga lagringscontainrar har identifierats
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Beskrivning: En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg.
Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.
Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktik: Samling
Allvarlighetsgrad: Hög/medelhög
Offentligt tillgängliga lagringscontainrar genomsöks utan framgång
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Beskrivning: En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen.
Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.
Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktik: Samling
Allvarlighetsgrad: Hög/låg
Ovanlig åtkomstkontroll i ett lagringskonto
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Beskrivning: Anger att åtkomstbehörigheterna för ett lagringskonto har inspekterats på ett ovanligt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Identifiering
Allvarlighetsgrad: Hög/medelhög
Ovanlig mängd data som extraheras från ett lagringskonto
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Beskrivning: Anger att en ovanligt stor mängd data har extraherats jämfört med den senaste aktiviteten i den här lagringscontainern. En potentiell orsak är att en angripare har extraherat en stor mängd data från en container som innehåller bloblagring. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Hög/låg
Ovanligt program som används för ett lagringskonto
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Beskrivning: Anger att ett ovanligt program har använt det här lagringskontot. En möjlig orsak är att en angripare har åtkomst till ditt lagringskonto med hjälp av ett nytt program. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Hög/medelhög
Ovanlig datautforskning i ett lagringskonto
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Beskrivning: Anger att blobar eller containrar i ett lagringskonto har uppräknats på ett onormalt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Hög/medelhög
Ovanlig borttagning i ett lagringskonto
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Beskrivning: Anger att en eller flera oväntade borttagningsåtgärder har inträffat i ett lagringskonto jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har tagit bort data från ditt lagringskonto. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Hög/medelhög
Ovanlig oautentiserad offentlig åtkomst till en känslig blobcontainer (förhandsversion)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot utan autentisering med hjälp av en extern (offentlig) IP-adress. Den här åtkomsten är misstänkt eftersom blobcontainern är öppen för offentlig åtkomst och vanligtvis endast används med autentisering från interna nätverk (privata IP-adresser). Den här åtkomsten kan tyda på att blobcontainerns åtkomstnivå är felkonfigurerad och att en obehörig aktör kan ha utnyttjat den offentliga åtkomsten. Säkerhetsaviseringen innehåller den identifierade kontexten för känslig information (genomsökningstid, klassificeringsetikett, informationstyper och filtyper). Läs mer om identifiering av känsligt datahot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Ovanlig mängd data som extraheras från en känslig blobcontainer (förhandsversion)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har extraherat en ovanligt stor mängd data från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Ovanligt antal blobar som extraherats från en känslig blobcontainer (förhandsversion)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har extraherat ett ovanligt stort antal blobar från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Exfiltrering
Åtkomst från ett känt misstänkt program till en känslig blobcontainer (förhandsversion)
Storage.Blob_SuspiciousApp.Sensitive
Beskrivning: Aviseringen anger att någon med ett känt misstänkt program har åtkomst till en blobcontainer med känsliga data i lagringskontot och utfört autentiserade åtgärder.
Åtkomsten kan tyda på att en hotskådespelare har fått autentiseringsuppgifter för att komma åt lagringskontot med hjälp av ett känt misstänkt program. Åtkomsten kan dock också tyda på ett intrångstest som utförs i organisationen.
Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Åtkomst från en känd misstänkt IP-adress till en känslig blobcontainer (förhandsversion)
Storage.Blob_SuspiciousIp.Sensitive
Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot från en känd misstänkt IP-adress som är associerad med hotinformation från Microsoft Threat Intelligence. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Åtkomst från en tor-slutnod till en känslig blobcontainer (förhandsversion)
Storage.Blob_TorAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon med en IP-adress som är känd som en Tor-slutnod har åtkomst till en blobcontainer med känsliga data i lagringskontot med autentiserad åtkomst. Autentiserad åtkomst från en Tor-avslutningsnod indikerar starkt att aktören försöker vara anonym för eventuell skadlig avsikt. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Åtkomst från en ovanlig plats till en känslig blobcontainer (förhandsversion)
Storage.Blob_GeoAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har använt blobcontainer med känsliga data i lagringskontot med autentisering från en ovanlig plats. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Åtkomstnivån för en känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst
Storage.Blob_OpenACL.Sensitive
Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som innehåller känsliga data, till containernivån, vilket tillåter oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes genom Azure Portal. Ändringen av åtkomstnivå kan äventyra säkerheten för data. Vi rekommenderar att du vidtar omedelbara åtgärder för att skydda data och förhindra obehörig åtkomst om aviseringen utlöses. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
Misstänkt extern åtkomst till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)
Storage.Blob_AccountSas.InternalSasUsedExternally
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Den här typen av åtkomst anses misstänkt eftersom SAS-token vanligtvis endast används i interna nätverk (från privata IP-adresser). Aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Medel
Misstänkt extern åtgärd till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Åtkomsten anses misstänkt eftersom åtgärder som anropas utanför nätverket (inte från privata IP-adresser) med den här SAS-token vanligtvis används för en specifik uppsättning läs-/skriv-/borttagningsåtgärder, men andra åtgärder har inträffat, vilket gör den här åtkomsten misstänkt. Den här aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Medel
Ovanlig SAS-token användes för att komma åt ett Azure Storage-konto från en offentlig IP-adress (förhandsversion)
Storage.Blob_AccountSas.UnusualExternalAccess
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en SAS-token för kontot. Åtkomsten är mycket ovanlig och anses misstänkt, eftersom åtkomsten till lagringskontot med SAS-token vanligtvis endast kommer från interna (privata) IP-adresser. Det är möjligt att en SAS-token läckte ut eller genererades av en skadlig aktör antingen inifrån din organisation eller externt för att få åtkomst till det här lagringskontot. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Låg
Skadlig fil som laddats upp till lagringskontot
Storage.Blob_AM. MalwareFound
Beskrivning: Aviseringen anger att en skadlig blob laddades upp till ett lagringskonto. Den här säkerhetsaviseringen genereras av funktionen Genomsökning av skadlig kod i Defender för lagring. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en hotskådespelare eller en oavsiktlig uppladdning av en skadlig fil av en legitim användare. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Skadlig blob laddades ned från ett lagringskonto (förhandsversion)
Storage.Blob_MalwareDownload
Beskrivning: Aviseringen anger att en skadlig blob laddades ned från ett lagringskonto. Potentiella orsaker kan vara skadlig kod som har laddats upp till lagringskontot och inte tagits bort eller satts i karantän, vilket gör det möjligt för en hotaktör att ladda ned den eller en oavsiktlig nedladdning av skadlig kod av legitima användare eller program. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög, om Eicar - låg
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.