Azure Cosmos DB에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Azure Cosmos DB에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Azure Cosmos DB 경고
Tor 종료 노드에서 액세스
(CosmosDB_TorAnomaly)
설명: 이 Azure Cosmos DB 계정은 익명화 프록시인 Tor의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다.
MITRE 전술: 초기 액세스
심각도: 높음/보통
의심스러운 IP에서 액세스
(CosmosDB_SuspiciousIp)
설명: 이 Azure Cosmos DB 계정은 Microsoft Threat Intelligence의 위협으로 식별된 IP 주소에서 성공적으로 액세스되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
비정상적인 위치에서 액세스
(CosmosDB_GeoAnomaly)
설명: 이 Azure Cosmos DB 계정은 일반적인 액세스 패턴에 따라 익숙하지 않은 것으로 간주되는 위치에서 액세스되었습니다.
위협 행위자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다.
MITRE 전술: 초기 액세스
심각도: 낮음
비정상적인 데이터 볼륨이 추출됨
(CosmosDB_DataExfiltrationAnomaly)
설명: 이 Azure Cosmos DB 계정에서 비정상적으로 많은 양의 데이터가 추출되었습니다. 이는 위협 행위자가 데이터를 유출했음을 나타낼 수 있습니다.
MITRE 전술: 반출
심각도: 보통
잠재적으로 악의적인 스크립트를 통해 Azure Cosmos DB 계정 키 추출
(CosmosDB_SuspiciousListKeys.MaliciousScript)
설명: PowerShell 스크립트가 구독에서 실행되었고 구독에서 Azure Cosmos DB 계정의 키를 가져오는 의심스러운 키 목록 작업 패턴을 수행했습니다. 위협 행위자가 Microburst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 액세스할 수 있는 Azure Cosmos DB 계정을 찾습니다.
이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 사용자 환경에서 Azure Cosmos DB 계정을 손상시키려고 했음을 나타낼 수 있습니다.
또는 악의적인 내부자가 중요한 데이터에 액세스하고 횡적 이동을 수행하려고 할 수 있습니다.
MITRE 전술: 컬렉션
심각도: 보통
Azure Cosmos DB 계정 키의 의심스러운 추출
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
설명: 의심스러운 원본이 구독에서 Azure Cosmos DB 계정 액세스 키를 추출했습니다. 이 원본이 합법적인 원본이 아니면 영향이 큰 문제일 수 있습니다. 추출된 액세스 키는 연결된 데이터베이스와 내부에 저장된 데이터에 대한 모든 권한을 제공합니다. 원본이 의심스러운 것으로 플래그가 지정된 이유를 이해하려면 각 특정 경고의 세부 정보를 참조하세요.
MITRE 전술: 자격 증명 액세스
심각도: 높음
SQL 삽입: 잠재적인 데이터 반출
(CosmosDB_SqlInjection.DataExfiltration)
설명: 의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.
삽입된 문이 위협 행위자가 액세스할 수 있는 권한이 없는 데이터를 유출하는 데 성공했을 수 있습니다.
Azure Cosmos DB 쿼리의 구조와 기능으로 인해 Azure Cosmos DB 계정에 대한 알려진 많은 SQL 삽입 공격은 작동하지 않습니다. 그러나 이 공격에 사용되는 변형이 작동할 수 있으며 위협 행위자가 데이터를 유출할 수 있습니다.
MITRE 전술: 반출
심각도: 보통
SQL 삽입: 퍼지 시도
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
설명: 의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.
잘 알려진 다른 SQL 삽입 공격과 마찬가지로 이 공격은 Azure Cosmos DB 계정을 손상시키는 데 성공하지 못합니다.
그럼에도 불구하고 위협 행위자가 이 계정의 리소스를 공격하려고 하고 애플리케이션이 손상될 수 있음을 나타냅니다.
일부 SQL 삽입 공격은 성공하고 데이터를 유출하는 데 사용할 수 있습니다. 즉, 공격자가 SQL 삽입 시도를 계속 수행하면 Azure Cosmos DB 계정을 손상하고 데이터를 유출할 수 있습니다.
매개 변수화된 쿼리를 사용하여 이 위협을 방지할 수 있습니다.
MITRE 전술: 사전 공격
심각도: 낮음
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.