Azure Storage のアラート
この記事では、Microsoft Defender for Cloud から Azure Storage に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Azure Storage アラート
Access from a suspicious application (不審なアプリケーションからのアクセス)
(Storage.Blob_SuspiciousApp)
説明: 疑わしいアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。 これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。 適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2
MITRE の戦術: 初期アクセス
重大度: 高/中
Access from a suspicious IP address (不審な IP アドレスからのアクセス)
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
説明: 疑わしいと見なされる IP アドレスからこのストレージ アカウントに正常にアクセスされたことを示します。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
MITRE 戦術: 攻撃前
重大度: 高/中/低
Phishing content hosted on a storage account (ストレージ アカウントでホストされているフィッシング コンテンツ)
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
説明: フィッシング攻撃で使用される URL は、Azure Storage アカウントを指します。 この URL は、Microsoft 365 のユーザーに影響を与えるフィッシング攻撃の一部でした。 通常、このようなページでホストされているコンテンツは、訪問者が正規に見える Web フォームに自社の資格情報や財務情報を入力するよう誘導することを目的としています。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files
MITRE の戦術: コレクション
重大度: 高
Storage account identified as source for distribution of malware (マルウェアの配布元として識別されたストレージ アカウント)
(Storage.Files_WidespreadeAm)
説明: マルウェア対策アラートは、感染したファイルが、複数の VM にマウントされている Azure ファイル共有に格納されていることを示します。 Azure ファイル共有がマウントされている VM へのアクセス権を攻撃者が取得した場合、攻撃者は、それを使用して、同じ共有をマウントする他の VM にマルウェアを拡散させることができます。 適用対象: Azure Files
MITRE の戦術: 実行
重大度: 中
The access level of a potentially sensitive storage blob container was changed to allow unauthenticated public access (機密である可能性のあるストレージ BLOB コンテナーのアクセス レベルが変更され、認証されていないパブリック アクセスが許可されました)
(Storage.Blob_OpenACL)
説明: アラートは、機密性の高いデータを含む可能性があるストレージ アカウント内の BLOB コンテナーのアクセス レベルを"コンテナー" レベルに変更して、認証されていない (匿名) パブリック アクセスを許可したことを示します。 変更は、Azure portal を通じて行われました。 統計分析に基づいて、BLOB コンテナーには機密データが含まれている可能性があるというフラグが設定されます。 この分析では、BLOB コンテナーまたは同様の名前のストレージ アカウントは、通常、パブリック アクセスに公開されないことが示唆されています。 適用対象: Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: コレクション
重大度: 中
Authenticated access from a Tor exit node (Tor 出口ノードからの認証済みアクセス)
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
説明: ストレージ アカウント内の 1 つ以上のストレージ コンテナー/ファイル共有に、Tor のアクティブな出口ノード (匿名化プロキシ) であることが知られている IP アドレスから正常にアクセスされました。 脅威アクターは Tor を使用して、アクティビティを追跡することを困難にしています。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
MITRE 戦術: 初期アクセス/事前攻撃
重大度: 高/中
Access from an unusual location to a storage account (ストレージ アカウントへの通常とは異なる場所からのアクセス)
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
説明: Azure Storage アカウントへのアクセス パターンに変更が加えられたことを示します。 最近のアクティビティと比較して見慣れない IP アドレスから誰かがこのアカウントにアクセスしました。 攻撃者がアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
MITRE の戦術: 初期アクセス
重大度: 高/中/低
Unusual unauthenticated access to a storage container (ストレージ コンテナーへの通常とは異なる認証されていないアクセス)
(Storage.Blob_AnonymousAccessAnomaly)
説明: このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変更です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。 適用対象:Azure Blob Storage
MITRE の戦術: 初期アクセス
重大度: 高/低
Potential malware uploaded to a storage account (マルウェアがストレージ アカウントにアップロードされた可能性)
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
説明: 潜在的なマルウェアを含む BLOB が、ストレージ アカウント内の BLOB コンテナーまたはファイル共有にアップロードされたことを示します。 このアラートは、ウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュなど、Microsoft の脅威インテリジェンスの機能を活用したハッシュ評価分析に基づいています。 潜在的な原因には、攻撃者による意図的なマルウェアのアップロードや、正当なユーザーによる悪意のある可能性のある BLOB の意図しないアップロードが含まれる可能性があります。 適用対象: Azure Blob Storage、Azure Files (REST API 経由のトランザクションのみ) Microsoft の脅威インテリジェンス機能の詳細について説明。
MITRE 戦術: 横移動
重大度: 高
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました)
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
説明: ストレージ アカウントでパブリックに開かれているストレージ コンテナーの検出が、スキャン スクリプトまたはツールによって過去 1 時間に正常に実行されました。
通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。
脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE の戦術: コレクション
重大度: 高/中
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました)
(Storage.Blob_OpenContainersScanning.FailedAttempt)
説明: 過去 1 時間に、パブリックに開いているストレージ コンテナーをスキャンしようとして失敗した一連の試行が実行されました。
通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。
脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE の戦術: コレクション
重大度: 高/低
Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるアクセスの検査)
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
説明: ストレージ アカウントのアクセス許可が、このアカウントの最近のアクティビティと比較して異常な方法で検査されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files
MITRE の戦術: 検出
重大度: 高/中
Unusual amount of data extracted from a storage account (通常とは異なる量のデータがストレージ アカウントから抽出されました)
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
説明: このストレージ コンテナーでの最近のアクティビティと比較して、異常に大量のデータが抽出されたことを示します。 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーから大量のデータを抽出したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
MITRE の戦術: 流出
重大度: 高/低
Unusual application accessed a storage account (通常とは異なるアプリケーションがストレージ アカウントにアクセスしました)
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
説明: 通常とは異なるアプリケーションがこのストレージ アカウントにアクセスしたことを示します。 原因として考えられるのは、攻撃者が新しいアプリケーションを使用して、ご自分のストレージ アカウントにアクセスしたことです。 適用対象:Azure Blob Storage、Azure Files
MITRE の戦術: 実行
重大度: 高/中
Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるデータの探索)
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
説明: ストレージ アカウント内の BLOB またはコンテナーが、このアカウントの最近のアクティビティと比較して異常な方法で列挙されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files
MITRE の戦術: 実行
重大度: 高/中
Unusual deletion in a storage account (ストレージ アカウントでの通常と異なる削除)
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
説明: このアカウントの最近のアクティビティと比較して、ストレージ アカウントで 1 つ以上の予期しない削除操作が発生したことを示します。 原因として考えられるのは、攻撃者がストレージ アカウントからデータを削除したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
MITRE の戦術: 流出
重大度: 高/中
機密性の高い BLOB コンテナーへの異常な認証されていないパブリック アクセス
Storage.Blob_AnonymousAccessAnomaly.Sensitive
説明: アラートは、外部 (パブリック) IP アドレスを使用して、だれかが認証なしでストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示します。 このアクセスが不審なのは、BLOB コンテナーはパブリック アクセスに対してオープンになっていて、通常は内部ネットワーク (プライベート IP アドレス) からの認証を使用してのみアクセスされるためです。 このアクセスは、BLOB コンテナーのアクセス レベルが正しく構成されておらず、悪意のあるアクターがパブリック アクセスを悪用した可能性があることを示している可能性があります。 このセキュリティ アラートには、検出された機密情報コンテキスト (スキャン時間、分類ラベル、情報の種類、ファイルの種類) が含まれます。 機密データの脅威検出の詳細について確認してください。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 初期アクセス
重大度: 高
機密性の高い BLOB コンテナーから抽出された異常な量のデータ
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
説明: アラートは、だれかがストレージ アカウント内の機密データを含む BLOB コンテナーから異常に大量のデータを抽出したことを示します。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 流出
重大度: 中
機密性の高い BLOB コンテナーから抽出された通常とは異なる数の BLOB
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
説明: アラートは、だれかがストレージ アカウント内の機密データを含む BLOB コンテナーから異常に多くの BLOB を抽出したことを示します。 適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 流出
既知の疑わしいアプリケーションから機密性の高い BLOB コンテナーへのアクセス
Storage.Blob_SuspiciousApp.Sensitive
説明: アラートは、既知の疑わしいアプリケーションを持つユーザーが、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスし、認証された操作を実行したことを示します。
このアクセスは、既知の疑わしいアプリケーションを使用して、脅威アクターがストレージ アカウントにアクセスするための資格情報を取得したことを示している可能性があります。 ただしアクセスが、組織で実施された侵入テストを示している可能性もあります。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 初期アクセス
重大度: 高
既知の疑わしい IP アドレスから機密性の高い BLOB コンテナーへのアクセス
Storage.Blob_SuspiciousIp.Sensitive
説明: アラートは、Microsoft Threat Intelligence によって脅威 Intel に関連付けられている既知の疑わしい IP アドレスから、ストレージ アカウント内の機密データを含む BLOB コンテナーに誰かがアクセスしたことを示します。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE 戦術: 攻撃前
重大度: 高
Tor 出口ノードから機密性の高い BLOB コンテナーへのアクセス
Storage.Blob_TorAnomaly.Sensitive
説明: アラートは、Tor 出口ノードと呼ばれる IP アドレスを持つユーザーが、認証されたアクセス権を持つストレージ アカウント内の機密データを持つ BLOB コンテナーにアクセスしたことを示します。 Tor 出口ノードからの認証されているアクセスは、悪質である可能性がある意図のために、アクターが匿名を維持しようとしていることを強く示しています。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE 戦術: 攻撃前
重大度: 高
通常とは異なる場所から機密性の高い BLOB コンテナーへのアクセス
Storage.Blob_GeoAnomaly.Sensitive
説明: アラートは、だれかが通常とは異なる場所からの認証を使用して、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示します。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 初期アクセス
重大度: 中
機密性の高いストレージ BLOB コンテナーのアクセス レベルが、認証されていないパブリック アクセスを許可するように変更された
Storage.Blob_OpenACL.Sensitive
説明: アラートは、機密データを含むストレージ アカウント内の BLOB コンテナーのアクセス レベルを"コンテナー" レベルに変更したことを示します。これにより、認証されていない (匿名) パブリック アクセスが許可されます。 変更は、Azure portal を通じて行われました。 アクセス レベルの変更により、データのセキュリティが損なわれる可能性があります。 このアラートがトリガーされた場合は直ちにアクションを起こし、データをセキュリティで保護し、未認可のアクセスを防ぐことをお勧めします。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: コレクション
重大度: 高
過剰に制限された SAS トークンを使用した Azure ストレージ アカウントへの疑わしい外部アクセス
(Storage.Blob_AccountSas.InternalSasUsedExternally
Storage.Files_AccountSas.InternalSasUsedExternally)
説明: このアラートは、外部 (パブリック) IP アドレスを持つユーザーが、有効期限が長い過度に制限されていない SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 SAS トークンは、通常 (プライベート IP アドレスの) 内部ネットワークでのみ使用されるため、この種類のアクセスは不審なと見なされます。 このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩したか、正当なソースから意図せずに漏洩したことを示している可能性があります。 アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 流出/リソース開発/影響
重大度: 中
過剰に制限された SAS トークンを使用して Azure ストレージ アカウントに対する疑わしい外部操作
(Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Storage.Files_AccountSas.UnusualOperationFromExternalIp)
説明: このアラートは、外部 (パブリック) IP アドレスを持つユーザーが、有効期限が長い過度に制限されていない SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 この SAS トークンを使用して (プライベート IP アドレスからではなく) ネットワークの外部で呼び出された操作は、一般に、一連の特定の読み取り/書き込み/削除操作に使用されますが、他の操作が発生したため、このアクセスは不審なと見なされます。 このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩したか、正当なソースから意図せずに漏洩したことを示している可能性があります。 アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 流出/リソース開発/影響
重大度: 中
通常とは異なる SAS トークンを使用して、パブリック IP アドレスから Azure ストレージ アカウントにアクセスしました
(Storage.Blob_AccountSas.UnusualExternalAccess
Storage.Files_AccountSas.UnusualExternalAccess)
説明: アラートは、外部 (パブリック) IP アドレスを持つユーザーがアカウント SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 SAS トークンを使用したストレージ アカウントへのアクセスは、通常、内部 (プライベート) IP アドレスからのみ行われるため、アクセスはまったく普通ではなく不審なと見なされます。 このストレージ アカウントへのアクセスを取得するため、組織内または外部から悪意のあるアクターによって SAS トークンが漏洩された、または生成された可能性があります。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE の戦術: 流出/リソース開発/影響
重大度: 低
ストレージ アカウントに悪意のあるファイルがアップロードされた
Storage.Blob_AM.MalwareFound
説明: アラートは、悪意のある BLOB がストレージ アカウントにアップロードされたことを示します。 このセキュリティ アラートは、Defender for Storage のマルウェア スキャン機能によって生成されます。 潜在的な原因には、脅威アクターによるマルウェアの意図的なアップロードや、正当なユーザーによる悪意のあるファイルの意図しないアップロードが含まれる可能性があります。 適用対象: マルウェア スキャン機能が有効になっている新しい Defender for Storage プランの Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE 戦術: 横移動
重大度: 高
悪意のある BLOB がストレージ アカウントからダウンロードされました
Storage.Blob_MalwareDownload
説明: アラートは、悪意のある BLOB がストレージ アカウントからダウンロードされたことを示します。 潜在的な原因には、ストレージ アカウントにアップロードされ、削除または検疫されていないマルウェアが含まれる可能性があります。これにより、脅威アクターがそれをダウンロードしたり、正当なユーザーやアプリケーションによるマルウェアの意図しないダウンロードが可能になったりする可能性があります。 適用対象: マルウェアスキャン機能が有効になっている新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。
MITRE 戦術: 横移動
重大度: Eicar - low の場合は High
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。