Compartilhar via


Alertas do Azure Cosmos DB

Este artigo lista os alertas de segurança que você pode receber para o Azure Cosmos DB do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Observação

Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Azure Cosmos DB

Mais detalhes e observações

Acesso de um nó de saída do Tor

(CosmosDB_TorAnomaly)

Descrição: essa conta do Azure Cosmos DB foi acessada com êxito de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anônimo. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade.

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso de um IP suspeito

(CosmosDB_SuspiciousIp)

Descrição: essa conta do Azure Cosmos DB foi acessada com êxito de um endereço IP identificado como uma ameaça pelo Microsoft Threat Intelligence.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Acesso de um local incomum

(CosmosDB_GeoAnomaly)

Descrição: essa conta do Azure Cosmos DB foi acessada de um local considerado desconhecido, com base no padrão de acesso usual.

Um ator de ameaça obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Volume incomum de dados extraídos

(CosmosDB_DataExfiltrationAnomaly)

Descrição: um volume excepcionalmente grande de dados foi extraído dessa conta do Azure Cosmos DB. Isso pode indicar que um ator de ameaça exfiltrou dados.

Táticas do MITRE: Exfiltração

Gravidade: Média

Extração de chaves de contas do Azure Cosmos DB por meio de um script possivelmente mal-intencionado

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB em sua assinatura. Os atores da ameaça usam scripts automatizados, como o Microburst, para listar chaves e localizar as contas do Azure Cosmos DB que eles podem acessar.

Essa operação pode indicar que uma identidade na organização foi violada e que o ator da ameaça está tentando comprometer as contas do Azure Cosmos DB no seu ambiente com objetivos mal-intencionados.

Como alternativa, um insider mal-intencionado pode tentar acessar dados confidenciais e executar a movimentação lateral.

Táticas MITRE: Coleção

Gravidade: Média

Extração suspeita de chaves de conta do Azure Cosmos DB

(AzureCosmosDB_SuspiciousListKeys.SuspeitoPrincipal)

Descrição: uma fonte suspeita extraiu chaves de acesso da conta do Azure Cosmos DB da sua assinatura. Se esta fonte não for uma fonte legítima, isso pode ser um problema de alto impacto. A chave de acesso extraída fornece controle total sobre os bancos de dados associados e os dados armazenados neste banco de dados. Consulte os detalhes de cada alerta específico para reconhecer por que a fonte foi sinalizada como suspeita.

Táticas MITRE: Acesso a credenciais

Gravidade: alta

Injeção de SQL: possível exfiltração dos dados

(CosmosDB_SqlInjection.DataExfiltration)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

A instrução injetada pode ter sido bem-sucedida na exfiltração de dados que o agente de ameaça não está autorizado a acessar.

Devido à estrutura e às funcionalidades das consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos em contas do Azure Cosmos DB não funcionam. No entanto, a variação usada nesse ataque pode funcionar e os agentes de ameaças podem exfiltrar dados.

Táticas do MITRE: Exfiltração

Gravidade: Média

Injeção de SQL: tentativa de fuzzing

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

Assim como outros ataques de injeção de SQL bem conhecidos, esse ataque não conseguirá comprometer a conta do Azure Cosmos DB.

No entanto, é uma indicação de que um agente de ameaça está tentando atacar os recursos dessa conta e seu aplicativo pode estar comprometido.

Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar executando tentativas de injeção de SQL, ele poderá comprometer sua conta do Azure Cosmos DB e exfiltrar dados.

Você pode evitar essa ameaça usando consultas parametrizadas.

Táticas do MITRE: Pré-ataque

Gravidade: Baixa

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas