Warnungen für Azure Key Vault
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure Key Vault von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Azure Key Vault-Warnungen
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse
(KV_SuspiciousIPAccess)
Beschreibung: Auf einen Schlüsseltresor wurde erfolgreich von einer IP zugegriffen, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann darauf hindeuten, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Zugriff über einen TOR-Exitknoten auf einen Schlüsseltresor
(KV_TORAccess)
Beschreibung: Auf einen Schlüsseltresor wurde über einen bekannten TOR-Beendigungsknoten zugegriffen. Dies kann ein Hinweis darauf sein, dass ein Bedrohungsakteur auf den Schlüsseltresor zugegriffen hat und das TOR-Netzwerk verwendet, um den Quellstandort zu verbergen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Hohe Anzahl von Vorgängen in einem Schlüsseltresor
(KV_OperationVolumeAnomaly)
Beschreibung: Eine omale Anzahl von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Richtlinienänderung und Geheimnisabfrage in einem Schlüsseltresor
(KV_PutGetAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalien Vault Put-Richtlinienänderungsvorgang ausgeführt, gefolgt von einem oder mehreren Geheimen Get-Vorgängen. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur die Schlüsseltresorrichtlinie aktualisiert hat, um auf zuvor nicht zugängliche Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Geheimnisauflistung und -abfrage in einem Schlüsseltresor
(KV_ListGetAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalen Geheimlistenvorgang ausgeführt, gefolgt von mindestens einem geheimen Get-Vorgang. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt und steht üblicherweise mit dem Sichern von Geheimnissen im Zusammenhang. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erlangt hat und versucht, Geheimnisse zu entdecken, die verwendet werden können, um sich lateral über Ihr Netzwerk zu bewegen und/oder Zugriff auf vertrauliche Ressourcen zu erhalten. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert
(KV_AccountVolumeAccessDeniedAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden auf eine anomalie hohe Anzahl von Schlüsseltresorn zuzugreifen. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Ermittlung
Schweregrad: Niedrig
Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert
(KV_UserAccessDeniedAnomaly)
Beschreibung: Ein Schlüsseltresorzugriff wurde von einem Benutzer versucht, der normalerweise nicht darauf zugreift, dieses anomaliele Zugriffsmuster kann legitime Aktivitäten sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen.
MITRE-Taktiken: Initial Access, Discovery
Schweregrad: Niedrig
Ungewöhnliche Anwendung hat auf einen Schlüsseltresor zugegriffen
(KV_AppAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Dienstprinzipal zugegriffen, auf den normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliches Vorgangsmuster in einem Schlüsseltresor
(KV_OperationPatternAnomaly)
Beschreibung: Ein ungewöhnliches Muster von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnlicher Benutzer hat auf einen Schlüsseltresor zugegriffen
(KV_UserAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzer zugegriffen, der normalerweise nicht darauf zugreift. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliches Benutzer/Anwendungs-Paar hat auf einen Schlüsseltresor zugegriffen
(KV_UserAppAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzerdienstprinzipalpaar zugegriffen, auf das normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Benutzerzugriff auf eine große Anzahl von Schlüsseltresoren
(KV_AccountVolumeAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat auf ein anomalie hohes Volumen von Schlüsseltresorn zugegriffen. Dieses anomale Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf mehrere Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert
(KV_SuspiciousIPAccessDenied)
Beschreibung: Ein erfolgloser Schlüsseltresorzugriff wurde von einer IP versucht, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Niedrig
Ungewöhnlicher Zugriff auf den Schlüsseltresor von einer verdächtigen IP (nicht von Microsoft oder extern)
(KV_UnusualAccessSuspiciousIP)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden anomale Zugriff auf Schlüsseltresor von einer nicht von Microsoft stammenden IP zu erhalten. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.