次の方法で共有


Azure Key Vault のアラート

この記事では、Microsoft Defender for Cloud から Azure Key Vault に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure Key Vault のアラート

詳細な説明と注意

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキー コンテナーへのアクセス)

(KV_SuspiciousIPAccess)

説明: キー コンテナーは、疑わしい IP アドレスとして Microsoft Threat Intelligence によって識別された IP によって正常にアクセスされました。 これは、インフラストラクチャが侵害されたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。

MITRE の戦術: 資格情報アクセス

重大度: 中

Access from a TOR exit node to a key vault (TOR 出口ノードからキー コンテナーへのアクセス)

(KV_TORAccess)

説明: 既知の TOR 出口ノードからキー コンテナーにアクセスしました。 これは、脅威アクターがキー コンテナーにアクセスし、TOR ネットワークを使用してそのソースの場所を隠していることを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

High volume of operations in a key vault (キー コンテナーでの大量の操作)

(KV_OperationVolumeAnomaly)

説明: 異常な数のキー コンテナー操作が、ユーザー、サービス プリンシパル、または特定のキー コンテナーによって実行されました。 この異常なアクティビティ パターンは正当なものである可能性がありますが、脅威アクターがキー コンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious policy change and secret query in a key vault (キー コンテナーでの不審なポリシー変更とシークレット クエリ)

(KV_PutGetAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常な Vault Put ポリシー変更操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはありません。 これは正当なアクティビティかもしれませんが、脅威アクターが以前にアクセスできないシークレットにアクセスするためにキー コンテナー ポリシーを更新したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious secret listing and query in a key vault (キー コンテナーでの不審なシークレット一覧取得とクエリ)

(KV_ListGetAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常なシークレット リスト操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはなく、普通はシークレット ダンプに関連付けられています。 これは正当なアクティビティかもしれませんが、脅威アクターがキー コンテナーにアクセスし、ネットワーク内を横方向に移動したり、機密性の高いリソースにアクセスしたりするために使用できるシークレットを検出しようとしていることを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました

(KV_AccountVolumeAccessDeniedAnomaly)

説明: ユーザーまたはサービス プリンシパルが、過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 検出

重大度: 低

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

(KV_UserAccessDeniedAnomaly)

説明: 通常はアクセスしないユーザーによってキー コンテナーへのアクセスが試行されました。この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。

MITRE の戦術: 初期アクセス、検出

重大度: 低

Unusual application accessed a key vault (異常なアプリケーションによるキー コンテナーへのアクセス)

(KV_AppAnomaly)

説明: 通常はアクセスしないサービス プリンシパルによってキー コンテナーにアクセスされました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual operation pattern in a key vault (キー コンテナーでの異常な操作パターン)

(KV_OperationPatternAnomaly)

説明: キー コンテナー操作の異常なパターンは、ユーザー、サービス プリンシパル、または特定のキー コンテナーによって実行されました。 この異常なアクティビティ パターンは正当なものである可能性がありますが、脅威アクターがキー コンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user accessed a key vault (異常なユーザーによるキー コンテナーへのアクセス)

(KV_UserAnomaly)

説明: 通常はアクセスしないユーザーがキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセス)

(KV_UserAppAnomaly)

説明: 通常はアクセスしないユーザー サービス プリンシパル ペアによってキー コンテナーにアクセスされました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

User accessed high volume of key vaults (ユーザーによる大量のキー コンテナーへのアクセス)

(KV_AccountVolumeAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常に大量のキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターが複数のキー コンテナーにアクセスして、その中に含まれるシークレットにアクセスしようとしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました

(KV_SuspiciousIPAccessDenied)

説明: Microsoft Threat Intelligence によって疑わしい IP アドレスとして識別された IP によって、キー コンテナーへのアクセスが失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 低

疑わしい IP (Microsoft 以外または外部) からのキー コンテナーへの異常なアクセス

(KV_UnusualAccessSuspiciousIP)

説明: ユーザーまたはサービス プリンシパルが、過去 24 時間以内に Microsoft 以外の IP からキー コンテナーへの異常なアクセスを試行しました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ