Udostępnij za pośrednictwem


Alerty dotyczące usługi Azure Storage

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usługi Azure Storage z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Uwaga

Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Uwaga

Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.

Alerty usługi Azure Storage

Dalsze szczegóły i uwagi

Dostęp z podejrzanej aplikacji

(Storage.Blob_SuspiciousApp)

Opis: wskazuje, że podejrzana aplikacja pomyślnie uzyskała dostęp do kontenera konta magazynu z uwierzytelnianiem. Może to oznaczać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji. Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2

Taktyka MITRE: dostęp początkowy

Ważność: wysoka/średnia

Dostęp z podejrzanego adresu IP

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Opis: wskazuje, że dostęp do tego konta magazynu został pomyślnie uzyskany z adresu IP, który jest uważany za podejrzany. Ten alert jest obsługiwany przez usługę Microsoft Threat Intelligence. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktyka MITRE: Atak przed atakiem

Ważność: Wysoki/Średni/Niski

Wyłudzanie informacji hostowanych na koncie magazynu

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Opis: adres URL używany w ataku wyłudzania informacji wskazuje konto usługi Azure Storage. Ten adres URL był częścią ataku wyłudzającego informacje mającego wpływ na użytkowników platformy Microsoft 365. Zazwyczaj zawartość hostowana na takich stronach jest przeznaczona do wprowadzania poświadczeń firmowych lub informacji finansowych do formularza internetowego, który wygląda legalnie. Ten alert jest obsługiwany przez usługę Microsoft Threat Intelligence. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: Azure Blob Storage, Azure Files

Taktyka MITRE: Kolekcja

Ważność: Wysoka

Konto magazynu zidentyfikowane jako źródło dystrybucji złośliwego oprogramowania

(Storage.Files_WidespreadeAm)

Opis: Alerty ochrony przed złośliwym kodem wskazują, że zainfekowane pliki są przechowywane w udziale plików platformy Azure zainstalowanym na wielu maszynach wirtualnych. Jeśli osoby atakujące uzyskają dostęp do maszyny wirtualnej z zainstalowanym udziałem plików platformy Azure, mogą użyć go do rozpowszechniania złośliwego oprogramowania na innych maszynach wirtualnych, które zainstalują ten sam udział. Dotyczy: Azure Files

Taktyka MITRE: Wykonywanie

Ważność: średni rozmiar

Poziom dostępu potencjalnie poufnego kontenera obiektów blob magazynu został zmieniony, aby umożliwić nieuwierzytelniony dostęp publiczny

(Storage.Blob_OpenACL)

Opis: Alert wskazuje, że ktoś zmienił poziom dostępu kontenera obiektów blob na koncie magazynu, który może zawierać dane poufne, na poziomie "Kontener", aby zezwolić na dostęp publiczny nieuwierzytelniony (anonimowy). Ta zmiana została wprowadzona za pośrednictwem witryny Azure Portal. Na podstawie analizy statystycznej kontener obiektów blob jest oflagowany jako prawdopodobnie zawierający poufne dane. Ta analiza sugeruje, że kontenery obiektów blob lub konta magazynu o podobnych nazwach zwykle nie są widoczne dla dostępu publicznego. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium).

Taktyka MITRE: Kolekcja

Ważność: średni rozmiar

Uwierzytelniony dostęp z węzła zakończenia tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Opis: Co najmniej jeden kontener magazynu/ udziały plików na koncie magazynu zostały pomyślnie udostępnione z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają platformy Tor, aby utrudnić śledzenie działania z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktyka MITRE: wstępny dostęp / atak wstępny

Ważność: wysoka/średnia

Dostęp z nietypowej lokalizacji do konta magazynu

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Opis: wskazuje, że nastąpiła zmiana wzorca dostępu do konta usługi Azure Storage. Ktoś uzyskał dostęp do tego konta z adresu IP uważanego za nieznane w porównaniu z ostatnim działaniem. Osoba atakująca uzyskała dostęp do konta lub uprawniony użytkownik nawiązał połączenie z nowej lub nietypowej lokalizacji geograficznej. Przykładem tej drugiej jest zdalna konserwacja z nowej aplikacji lub dewelopera. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktyka MITRE: dostęp początkowy

Ważność: Wysoki/Średni/Niski

Nieuwierzytelniony dostęp do kontenera magazynu

(Storage.Blob_AnonymousAccessAnomaly)

Opis: To konto magazynu było dostępne bez uwierzytelniania, co stanowi zmianę wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożenia mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage

Taktyka MITRE: dostęp początkowy

Ważność: Wysoka/Niska

Potencjalne złośliwe oprogramowanie przekazane na konto magazynu

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Opis: wskazuje, że obiekt blob zawierający potencjalne złośliwe oprogramowanie został przekazany do kontenera obiektów blob lub udziału plików na koncie magazynu. Ten alert jest oparty na analizie reputacji skrótów wykorzystującej możliwości analizy zagrożeń firmy Microsoft, która obejmuje skróty wirusów, trojanów, programów szpiegujących i oprogramowania wymuszającego okup. Potencjalne przyczyny mogą obejmować celowe przekazywanie złośliwego oprogramowania przez osobę atakującą lub niezamierzone przekazanie potencjalnie złośliwego obiektu blob przez uprawnionego użytkownika. Dotyczy: Azure Blob Storage, Azure Files (tylko dla transakcji za pośrednictwem interfejsu API REST) Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft.

Taktyka MITRE: Ruch boczny

Ważność: Wysoka

Pomyślnie odnaleziono publicznie dostępne kontenery magazynu

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Opis: Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie.

Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.

Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Taktyka MITRE: Kolekcja

Ważność: wysoka/średnia

Nie powiodło się skanowanie publicznie dostępnych kontenerów magazynu

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Opis: W ciągu ostatniej godziny wykonano serię nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu.

Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.

Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Taktyka MITRE: Kolekcja

Ważność: Wysoka/Niska

Nietypowa inspekcja dostępu na koncie magazynu

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Opis: wskazuje, że uprawnienia dostępu do konta magazynu zostały sprawdzone w nietypowy sposób w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca przeprowadziła rekonesans na przyszły atak. Dotyczy: Azure Blob Storage, Azure Files

Taktyka MITRE: Odnajdywanie

Ważność: wysoka/średnia

Nietypowa ilość danych wyodrębnionych z konta magazynu

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Opis: wskazuje, że wyodrębniono niezwykle dużą ilość danych w porównaniu z ostatnimi działaniami w tym kontenerze magazynu. Potencjalną przyczyną jest to, że osoba atakująca wyodrębniła dużą ilość danych z kontenera, który przechowuje magazyn obiektów blob. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktyka MITRE: Eksfiltracja

Ważność: Wysoka/Niska

Nietypowa aplikacja uzyskiwała dostęp do konta magazynu

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Opis: wskazuje, że nietypowa aplikacja uzyskała dostęp do tego konta magazynu. Potencjalną przyczyną jest to, że osoba atakująca uzyskała dostęp do konta magazynu przy użyciu nowej aplikacji. Dotyczy: Azure Blob Storage, Azure Files

Taktyka MITRE: Wykonywanie

Ważność: wysoka/średnia

Nietypowa eksploracja danych na koncie magazynu

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Opis: wskazuje, że obiekty blob lub kontenery na koncie magazynu zostały wyliczone w sposób nietypowy w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca przeprowadziła rekonesans na przyszły atak. Dotyczy: Azure Blob Storage, Azure Files

Taktyka MITRE: Wykonywanie

Ważność: wysoka/średnia

Nietypowe usuwanie na koncie magazynu

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Opis: wskazuje, że co najmniej jedna nieoczekiwana operacja usuwania wystąpiła na koncie magazynu w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca usunęła dane z konta magazynu. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktyka MITRE: Eksfiltracja

Ważność: wysoka/średnia

Nieuwierzytelniony nieuwierzytelniony publiczny dostęp do poufnego kontenera obiektów blob

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Opis: Alert wskazuje, że ktoś uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu bez uwierzytelniania przy użyciu zewnętrznego (publicznego) adresu IP. Ten dostęp jest podejrzany, ponieważ kontener obiektów blob jest otwarty do dostępu publicznego i jest zwykle uzyskiwany tylko za pomocą uwierzytelniania z sieci wewnętrznych (prywatnych adresów IP). Ten dostęp może wskazywać, że poziom dostępu kontenera obiektów blob jest nieprawidłowo skonfigurowany, a złośliwy aktor mógł wykorzystać dostęp publiczny. Alert zabezpieczeń zawiera odnaleziony kontekst informacji poufnych (czas skanowania, etykieta klasyfikacji, typy informacji i typy plików). Dowiedz się więcej na temat wykrywania zagrożeń poufnych danych. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: dostęp początkowy

Ważność: Wysoka

Nietypowa ilość danych wyodrębnionych z poufnego kontenera obiektów blob

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Opis: Alert wskazuje, że ktoś wyodrębnił niezwykle dużą ilość danych z kontenera obiektów blob z poufnymi danymi na koncie magazynu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: Eksfiltracja

Ważność: średni rozmiar

Nietypowa liczba obiektów blob wyodrębnionych z poufnego kontenera obiektów blob

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Opis: Alert wskazuje, że ktoś wyodrębnił nietypowo dużą liczbę obiektów blob z kontenera obiektów blob z poufnymi danymi na koncie magazynu. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: Eksfiltracja

Dostęp ze znanej podejrzanej aplikacji do poufnego kontenera obiektów blob

Storage.Blob_SuspiciousApp.Sensitive

Opis: Alert wskazuje, że ktoś, kto ma znaną podejrzaną aplikację, uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu i wykonywał operacje uwierzytelnione.
Dostęp może wskazywać, że aktor zagrożenia uzyskał poświadczenia dostępu do konta magazynu przy użyciu znanej podejrzanej aplikacji. Jednak dostęp może również wskazywać na test penetracyjne przeprowadzony w organizacji. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: dostęp początkowy

Ważność: Wysoka

Dostęp ze znanego podejrzanego adresu IP do poufnego kontenera obiektów blob

Storage.Blob_SuspiciousIp.Poufne

Opis: Alert wskazuje, że ktoś uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu ze znanego podejrzanego adresu IP skojarzonego z funkcją intel zagrożeń firmy Microsoft Threat Intelligence. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: Przed atakiem

Ważność: Wysoka

Dostęp z węzła zakończenia tor do poufnego kontenera obiektów blob

Storage.Blob_TorAnomaly.Poufne

Opis: Alert wskazuje, że ktoś z adresem IP znanym jako węzeł wyjścia Tor uzyskuje dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu z uwierzytelnionym dostępem. Uwierzytelniony dostęp z węzła wyjścia Tor zdecydowanie wskazuje, że aktor próbuje pozostać anonimowy dla możliwej złośliwej intencji. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: Przed atakiem

Ważność: Wysoka

Dostęp z nietypowej lokalizacji do poufnego kontenera obiektów blob

Storage.Blob_GeoAnomaly.Sensitive

Opis: Alert wskazuje, że ktoś uzyskał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu z uwierzytelnianiem z nietypowej lokalizacji. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: dostęp początkowy

Ważność: średni rozmiar

Poziom dostępu poufnego kontenera obiektów blob magazynu został zmieniony, aby umożliwić nieuwierzytelniony dostęp publiczny

Storage.Blob_OpenACL.Sensitive

Opis: Alert wskazuje, że ktoś zmienił poziom dostępu kontenera obiektów blob na koncie magazynu, który zawiera dane poufne, na poziom "Kontener", który umożliwia nieuwierzytelniony (anonimowy) dostęp publiczny. Ta zmiana została wprowadzona za pośrednictwem witryny Azure Portal. Zmiana poziomu dostępu może naruszyć bezpieczeństwo danych. Zalecamy podjęcie natychmiastowych działań w celu zabezpieczenia danych i uniemożliwienie nieautoryzowanego dostępu w przypadku wyzwolenia tego alertu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.

Taktyka MITRE: Kolekcja

Ważność: Wysoka

Podejrzany zewnętrzny dostęp do konta usługi Azure Storage z nadmiernym tokenem SAS

(Storage.Blob_AccountSas.InternalSasUsedExternally

Storage.Files_AccountSas.InternalSasUsedExternally)

Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskiwał dostęp do konta magazynu przy użyciu nadmiernie permissywnego tokenu SAS z datą długiego wygaśnięcia. Ten typ dostępu jest uważany za podejrzany, ponieważ token SAS jest zwykle używany tylko w sieciach wewnętrznych (z prywatnych adresów IP). Działanie może wskazywać, że wyciek tokenu SAS został ujawniony przez złośliwego aktora lub przypadkowo wyciekł z wiarygodnego źródła. Nawet jeśli dostęp jest legalny, użycie tokenu SAS o wysokim poziomie uprawnień z długą datą wygaśnięcia jest sprzeczne z najlepszymi rozwiązaniami w zakresie zabezpieczeń i stanowi potencjalne zagrożenie bezpieczeństwa. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.

Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ

Ważność: średni rozmiar

Podejrzane operacje zewnętrzne na koncie usługi Azure Storage z nadmiernym tokenem SAS

(Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Storage.Files_AccountSas.UnusualOperationFromExternalIp)

Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskiwał dostęp do konta magazynu przy użyciu nadmiernie permissywnego tokenu SAS z datą długiego wygaśnięcia. Dostęp jest uważany za podejrzany, ponieważ operacje wywoływane poza siecią (nie z prywatnych adresów IP) z tym tokenem SAS są zwykle używane dla określonego zestawu operacji odczytu/zapisu/usuwania, ale wystąpiły inne operacje, co sprawia, że ten dostęp jest podejrzany. To działanie może wskazywać, że wyciek tokenu SAS został ujawniony przez złośliwego aktora lub przypadkowo wyciekł z wiarygodnego źródła. Nawet jeśli dostęp jest legalny, użycie tokenu SAS o wysokim poziomie uprawnień z długą datą wygaśnięcia jest sprzeczne z najlepszymi rozwiązaniami w zakresie zabezpieczeń i stanowi potencjalne zagrożenie bezpieczeństwa. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.

Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ

Ważność: średni rozmiar

Do uzyskiwania dostępu do konta usługi Azure Storage z publicznego adresu IP użyto nietypowego tokenu SAS

(Storage.Blob_AccountSas.UnusualExternalAccess

Storage.Files_AccountSas.UnusualExternalAccess)

Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskał dostęp do konta magazynu przy użyciu tokenu SAS konta. Dostęp jest bardzo nietypowy i uważany za podejrzany, ponieważ dostęp do konta magazynu przy użyciu tokenów SAS zwykle pochodzi tylko z wewnętrznych (prywatnych) adresów IP. Istnieje możliwość, że wyciek tokenu SAS lub wygenerowany przez złośliwego aktora z organizacji lub zewnętrznie w celu uzyskania dostępu do tego konta magazynu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.

Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ

Ważność: Niska

Złośliwy plik przekazany do konta magazynu

Storage.Blob_AM. MalwareFound

Opis: Alert wskazuje, że złośliwy obiekt blob został przekazany na konto magazynu. Ten alert zabezpieczeń jest generowany przez funkcję skanowania złośliwego oprogramowania w usłudze Defender for Storage. Potencjalne przyczyny mogą obejmować celowe przekazywanie złośliwego oprogramowania przez aktora zagrożeń lub niezamierzone przekazanie złośliwego pliku przez uprawnionego użytkownika. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją skanowania złośliwego oprogramowania.

Taktyka MITRE: Ruch boczny

Ważność: Wysoka

Złośliwy obiekt blob został pobrany z konta magazynu

Storage.Blob_MalwareDownload

Opis: Alert wskazuje, że złośliwy obiekt blob został pobrany z konta magazynu. Potencjalne przyczyny mogą obejmować złośliwe oprogramowanie, które zostało przekazane na konto magazynu, a nie zostało usunięte lub poddane kwarantannie, dzięki czemu aktor zagrożenia może go pobrać lub niezamierzone pobranie złośliwego oprogramowania przez uprawnionych użytkowników lub aplikacje. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją skanowania złośliwego oprogramowania.

Taktyka MITRE: Ruch boczny

Ważność: Wysoka, jeśli Eicar - niska

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki