Azure Key Vault에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Azure Key Vault에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Azure Key Vault 경고
의심스러운 IP 주소에서 Key Vault에 액세스
(KV_SuspiciousIPAccess)
설명: Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP에서 키 자격 증명 모음에 성공적으로 액세스했습니다. 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사를 권장합니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요.
MITRE 전술: 자격 증명 액세스
심각도: 보통
TOR 종료 노드에서 키 자격 증명 모음으로 액세스
(KV_TORAccess)
설명: 알려진 TOR 종료 노드에서 키 자격 증명 모음에 액세스했습니다. 이는 위협 행위자가 키 자격 증명 모음에 액세스했으며 TOR 네트워크를 사용하여 원본 위치를 숨기고 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
키 자격 증명 모음에서 대량의 작업 발생
(KV_OperationVolumeAnomaly)
설명: 사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 수의 키 자격 증명 모음 작업을 수행했습니다. 이 비정상적인 활동 패턴은 합법적일 수 있지만 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻었다는 표시일 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
키 자격 증명 모음의 의심스러운 정책 변경 및 비밀 쿼리
(KV_PutGetAnomaly)
설명: 사용자 또는 서비스 주체가 비정상적인 자격 증명 모음 정책 변경 작업과 하나 이상의 비밀 가져오기 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않습니다. 이는 합법적인 활동일 수 있지만 위협 행위자가 이전에 액세스할 수 없는 비밀에 액세스하도록 키 자격 증명 모음 정책을 업데이트했음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
키 보관소의 의심스러운 비밀 목록 및 쿼리
(KV_ListGetAnomaly)
설명: 사용자 또는 서비스 주체가 비정상적인 비밀 목록 작업과 하나 이상의 비밀 가져오기 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않으며 보통은 비밀 덤프와 연결됩니다. 이는 합법적인 활동일 수 있지만 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 얻었으며 네트워크를 통해 횡적으로 이동하거나 중요한 리소스에 액세스하는 데 사용할 수 있는 비밀을 검색하려고 했음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다.
(KV_AccountVolumeAccessDeniedAnomaly)
설명: 사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 검색
심각도: 낮음
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨
(KV_UserAccessDeniedAnomaly)
설명: 일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다.
MITRE 전술: 초기 액세스, 검색
심각도: 낮음
비정상적인 애플리케이션이 키 자격 증명 모음에 액세스했습니다.
(KV_AppAnomaly)
설명: 일반적으로 액세스하지 않는 서비스 주체가 키 자격 증명 모음에 액세스했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있지만 위협 행위자가 키 자격 증명 모음에 포함된 비밀에 액세스하기 위해 키 자격 증명 모음에 액세스했음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
키 자격 증명 모음의 비정상적인 작업 패턴
(KV_OperationPatternAnomaly)
설명: 키 자격 증명 모음 작업의 비정상적인 패턴은 사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에 의해 수행되었습니다. 이 비정상적인 활동 패턴은 합법적일 수 있지만 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻었다는 표시일 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
비정상적인 사용자가 키 자격 증명 모음에 액세스함
(KV_UserAnomaly)
설명: 일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있지만 위협 행위자가 키 자격 증명 모음에 포함된 비밀에 액세스하기 위해 키 자격 증명 모음에 액세스했음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
키 자격 증명 모음에 액세스한 비정상적인 사용자-애플리케이션 쌍
(KV_UserAppAnomaly)
설명: 일반적으로 액세스하지 않는 사용자 서비스 주체 쌍에서 키 자격 증명 모음에 액세스했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있지만 위협 행위자가 키 자격 증명 모음에 포함된 비밀에 액세스하기 위해 키 자격 증명 모음에 액세스했음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
사용자가 많은 양의 키 자격 증명 모음에 액세스했습니다.
(KV_AccountVolumeAnomaly)
설명: 사용자 또는 서비스 주체가 비정상적으로 많은 양의 키 자격 증명 모음에 액세스했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있지만 위협 행위자가 포함된 비밀에 액세스하기 위해 여러 키 자격 증명 모음에 대한 액세스 권한을 얻었다는 표시일 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
의심스러운 IP에서 키 자격 증명 모음으로의 액세스 거부
(KV_SuspiciousIPAccessDenied)
설명: Microsoft Threat Intelligence가 의심스러운 IP 주소로 식별한 IP에 의해 실패한 키 자격 증명 모음 액세스가 시도되었습니다. 이 시도는 실패했지만 인프라가 손상되었을 수 있음을 나타냅니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 낮음
의심스러운 IP(비 Microsoft 또는 외부)에서 키 자격 증명 모음에 대한 비정상적인 액세스
(KV_UnusualAccessSuspiciousIP)
설명: 사용자 또는 서비스 주체가 지난 24시간 동안 비 Microsoft IP에서 키 자격 증명 모음에 비정상적인 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이는 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도가 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.