Azure Cosmos DB uyarıları
Bu makalede, azure cosmos DB için Bulut için Microsoft Defender ve etkinleştirdiğiniz tüm Microsoft Defender planlarından alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Azure Cosmos DB uyarıları
Tor çıkış düğümünden erişim
(CosmosDB_TorAnomaly)
Açıklama: Bu Azure Cosmos DB hesabına, anonimleşen bir ara sunucu olan Tor'un etkin çıkış düğümü olduğu bilinen bir IP adresinden başarıyla erişildi. Bir Tor çıkış düğümünden kimliği doğrulanmış erişim, tehdit aktörlerinin kimliğini gizlemeye çalıştığının büyük olasılıkla bir göstergesidir.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek/Orta
Şüpheli IP'den erişim
(CosmosDB_SuspiciousIp)
Açıklama: Bu Azure Cosmos DB hesabına, Microsoft Threat Intelligence tarafından tehdit olarak tanımlanan bir IP adresinden başarıyla erişildi.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Olağan dışı bir konumdan erişim
(CosmosDB_GeoAnomaly)
Açıklama: Bu Azure Cosmos DB hesabına, alışılmış erişim deseni temelinde, tanınmadığı kabul edilen bir konumdan erişildi.
Bir tehdit aktörü hesaba erişim elde etti veya meşru bir kullanıcı yeni veya olağan dışı bir coğrafi konumdan bağlandı
MITRE taktikleri: İlk Erişim
Önem Derecesi: Düşük
Ayıklanan olağan dışı veri hacmi
(CosmosDB_DataExfiltrationAnomaly)
Açıklama: Bu Azure Cosmos DB hesabından olağan dışı derecede büyük miktarda veri ayıklandı. Bu, bir tehdit aktörün verileri dışarı aktardığını gösterebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
Kötü amaçlı olabilecek bir betik aracılığıyla Azure Cosmos DB hesap anahtarlarını ayıklama
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve aboneliğinizdeki Azure Cosmos DB hesaplarının anahtarlarını almak için şüpheli bir anahtar listeleme işlemi düzeni gerçekleştirdi. Tehdit aktörleri, anahtarları listelemek ve erişebilecekleri Azure Cosmos DB hesaplarını bulmak için Mikro patlama gibi otomatik betikleri kullanır.
Bu işlem kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızdaki Azure Cosmos DB hesaplarının güvenliğini aşmaya çalıştığına işaret edebilir.
Alternatif olarak, kötü niyetli bir insider hassas verilere erişmeye ve yanal hareket gerçekleştirmeye çalışıyor olabilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Azure Cosmos DB hesap anahtarlarının şüpheli ayıklaması
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Açıklama: Şüpheli bir kaynak, aboneliğinizden Azure Cosmos DB hesabı erişim anahtarlarını ayıkladı. Bu kaynak geçerli bir kaynak değilse, bu yüksek etkiye sahip bir sorun olabilir. Ayıklanan erişim anahtarı, ilişkili veritabanları ve içinde depolanan veriler üzerinde tam denetim sağlar. Kaynağın neden şüpheli olarak işaretlendiği hakkında bilgi edinmek için her uyarının ayrıntılarına bakın.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem derecesi: yüksek
SQL ekleme: olası veri sızdırma
(CosmosDB_SqlInjection.DataExfiltrasyon)
Açıklama: Bu Azure Cosmos DB hesabındaki bir kapsayıcıyı sorgulamak için şüpheli bir SQL deyimi kullanıldı.
Eklenen deyim, tehdit aktörün erişim yetkisi olmayan verileri dışarı aktarmayı başarmış olabilir.
Azure Cosmos DB sorgularının yapısı ve özellikleri nedeniyle, Azure Cosmos DB hesaplarında bilinen birçok SQL ekleme saldırısı çalışamaz. Ancak, bu saldırıda kullanılan varyasyon işe yarayabilir ve tehdit aktörleri verileri dışarı alabilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
SQL ekleme: fuzzing denemesi
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Açıklama: Bu Azure Cosmos DB hesabındaki bir kapsayıcıyı sorgulamak için şüpheli bir SQL deyimi kullanıldı.
Diğer iyi bilinen SQL ekleme saldırılarında olduğu gibi bu saldırı da Azure Cosmos DB hesabının güvenliğini tehlikeye atarak başarılı olmayacaktır.
Bununla birlikte, bir tehdit aktörün bu hesaptaki kaynaklara saldırmaya çalıştığının ve uygulamanızın gizliliğinin tehlikeye girmiş olabileceğinin bir göstergesidir.
Bazı SQL ekleme saldırıları başarılı olabilir ve verileri dışarı sızdırmak için kullanılabilir. Başka bir deyişle, saldırgan SQL ekleme denemelerini gerçekleştirmeye devam ederse Azure Cosmos DB hesabınızın güvenliğini tehlikeye atabilir ve verileri dışarı aktarabilir.
Parametreli sorgular kullanarak bu tehdidi önleyebilirsiniz.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Düşük
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.