Partilhar via


Alertas para o Armazenamento do Azure

Este artigo lista os alertas de segurança que você pode receber para o Armazenamento do Azure do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas de Armazenamento do Azure

Mais detalhes e notas

Acesso a partir de uma aplicação suspeita

(Storage.Blob_SuspiciousApp)

Descrição: indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado em sua organização. Aplica-se a: Azure Blob Storage, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso a partir de um endereço IP suspeito

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Descrição: indica que esta conta de armazenamento foi acedida com êxito a partir de um endereço IP considerado suspeito. Este alerta é alimentado pelo Microsoft Threat Intelligence. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Táticas MITRE: Pré Ataque

Gravidade: Alta/Média/Baixa

Conteúdo de phishing hospedado em uma conta de armazenamento

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Descrição: uma URL usada em um ataque de phishing aponta para sua conta de Armazenamento do Azure. Este URL fez parte de um ataque de phishing que afetou os utilizadores do Microsoft 365. Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir suas credenciais corporativas ou informações financeiras em um formulário da Web que pareça legítimo. Este alerta é alimentado pelo Microsoft Threat Intelligence. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Coleção

Gravidade: Alta

Conta de armazenamento identificada como fonte de distribuição de malware

(Storage.Files_WidespreadeAm)

Descrição: os alertas antimalware indicam que um arquivo infetado está armazenado em um compartilhamento de arquivos do Azure montado em várias VMs. Se os invasores obtiverem acesso a uma VM com um compartilhamento de arquivos do Azure montado, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento. Aplica-se a: Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Média

O nível de acesso de um contêiner de blob de armazenamento potencialmente sensível foi alterado para permitir acesso público não autenticado

(Storage.Blob_OpenACL)

Descrição: O alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que pode conter dados confidenciais, para o nível 'Contêiner', para permitir acesso público não autenticado (anônimo). A alteração foi feita através do portal do Azure. Com base na análise estatística, o contêiner de blob é sinalizado como possivelmente contendo dados confidenciais. Essa análise sugere que contêineres de blob ou contas de armazenamento com nomes semelhantes normalmente não são expostos ao acesso público. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium).

Táticas MITRE: Coleção

Gravidade: Média

Acesso autenticado de um nó de saída do Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Descrição: Um ou mais contêineres de armazenamento / compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizante). Os agentes de ameaças usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial / Pré-Ataque

Gravidade: Alta/Média

Acesso a partir de um local incomum a uma conta de armazenamento

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Descrição: indica que houve uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acedeu a esta conta a partir de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou a partir de uma localização geográfica nova ou incomum. Um exemplo deste último é a manutenção remota de um novo aplicativo ou desenvolvedor. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média/Baixa

Acesso não autenticado incomum a um contêiner de armazenamento

(Storage.Blob_AnonymousAccessAnomaly)

Descrição: Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura ao(s) contêiner(es) de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Baixa

Potencial malware carregado para uma conta de armazenamento

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Descrição: indica que um blob contendo malware potencial foi carregado para um contêiner de blob ou um compartilhamento de arquivos em uma conta de armazenamento. Este alerta baseia-se na análise de reputação do hash, que utiliza o poder das informações sobre ameaças da Microsoft, e que inclui hashes para vírus, trojans, spyware e ransomware. As causas potenciais podem incluir um upload intencional de malware por um invasor ou um upload não intencional de um blob potencialmente malicioso por um usuário legítimo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (somente para transações pela API REST) Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

Contêineres de armazenamento acessíveis ao público descobertos com êxito

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Descrição: uma descoberta bem-sucedida de contêiner(es) de armazenamento aberto publicamente em sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de varredura.

Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles.

O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Média

Contêineres de armazenamento acessíveis publicamente verificados sem êxito

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Descrição: Na última hora, foi realizada uma série de tentativas falhadas de procurar contentores de armazenamento abertos publicamente.

Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles.

O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Baixa

Inspeção de acesso incomum em uma conta de armazenamento

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Descrição: indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de forma incomum, em comparação com a atividade recente nessa conta. Uma causa potencial é que um atacante realizou reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Discovery

Gravidade: Alta/Média

Quantidade incomum de dados extraídos de uma conta de armazenamento

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Descrição: indica que uma quantidade anormalmente grande de dados foi extraída em comparação com a atividade recente neste contêiner de armazenamento. Uma causa potencial é que um invasor extraiu uma grande quantidade de dados de um contêiner que contém armazenamento de blob. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Táticas MITRE: Exfiltração

Gravidade: Alta/Baixa

Aplicativo incomum acessou uma conta de armazenamento

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Descrição: indica que um aplicativo incomum acessou essa conta de armazenamento. Uma causa potencial é que um invasor acessou sua conta de armazenamento usando um novo aplicativo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Alta/Média

Exploração de dados incomum em uma conta de armazenamento

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Descrição: indica que blobs ou contêineres em uma conta de armazenamento foram enumerados de forma anormal, em comparação com a atividade recente nessa conta. Uma causa potencial é que um atacante realizou reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Alta/Média

Exclusão incomum em uma conta de armazenamento

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Descrição: indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente nessa conta. Uma causa potencial é que um invasor excluiu dados da sua conta de armazenamento. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Táticas MITRE: Exfiltração

Gravidade: Alta/Média

Acesso público não autenticado incomum a um contêiner de blob sensível

Storage.Blob_AnonymousAccessAnomaly.Sensível

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento sem autenticação, usando um endereço IP externo (público). Esse acesso é suspeito, pois o contêiner de blob é aberto para acesso público e normalmente só é acessado com autenticação de redes internas (endereços IP privados). Esse acesso pode indicar que o nível de acesso do contêiner de blob está configurado incorretamente e um ator mal-intencionado pode ter explorado o acesso público. O alerta de segurança inclui o contexto de informações confidenciais descobertas (tempo de varredura, rótulo de classificação, tipos de informações e tipos de arquivo). Saiba mais sobre a deteção de ameaças a dados sensíveis. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Quantidade incomum de dados extraídos de um contêiner de blob sensível

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descrição: o alerta indica que alguém extraiu uma quantidade anormalmente grande de dados de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Exfiltração

Gravidade: Média

Número incomum de bolhas extraídas de um recipiente de blob sensível

Storage.Blob_DataExfiltration.NúmeroDeBlobsAnomalia.Sensível

Descrição: o alerta indica que alguém extraiu um número anormalmente grande de blobs de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de deteção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Exfiltração

Acesso de um aplicativo suspeito conhecido a um contêiner de blob confidencial

Storage.Blob_SuspiciousApp.Sensível

Descrição: o alerta indica que alguém com um aplicativo suspeito conhecido acessou um contêiner de blob com dados confidenciais na conta de armazenamento e realizou operações autenticadas.
O acesso pode indicar que um agente de ameaça obteve credenciais para acessar a conta de armazenamento usando um aplicativo suspeito conhecido. No entanto, o acesso também poderia indicar um teste de penetração realizado na organização. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de deteção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Acesso de um endereço IP suspeito conhecido a um contêiner de blob sensível

Storage.Blob_SuspiciousIp.Sensível

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento a partir de um endereço IP suspeito conhecido associado a informações sobre ameaças pelo Microsoft Threat Intelligence. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Pré-Ataque

Gravidade: Alta

Acesso de um nó de saída do Tor a um contêiner de blob sensível

Storage.Blob_TorAnomaly.Sensível

Descrição: O alerta indica que alguém com um endereço IP conhecido por ser um nó de saída do Tor acessou um contêiner de blob com dados confidenciais na conta de armazenamento com acesso autenticado. O acesso autenticado de um nó de saída do Tor indica fortemente que o ator está tentando permanecer anônimo para uma possível intenção maliciosa. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Pré-Ataque

Gravidade: Alta

Acesso de um local incomum a um contêiner de blob sensível

Storage.Blob_GeoAnomaly.Sensível

Descrição: o alerta indica que alguém acessou o contêiner de blob com dados confidenciais na conta de armazenamento com autenticação de um local incomum. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Média

O nível de acesso de um contêiner de blob de armazenamento confidencial foi alterado para permitir acesso público não autenticado

Storage.Blob_OpenACL.Sensível

Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que contém dados confidenciais, para o nível 'Contêiner', que permite acesso público não autenticado (anônimo). A alteração foi feita através do portal do Azure. A alteração do nível de acesso pode comprometer a segurança dos dados. Recomendamos tomar medidas imediatas para proteger os dados e impedir o acesso não autorizado caso esse alerta seja acionado. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.

Táticas MITRE: Coleção

Gravidade: Alta

Acesso externo suspeito a uma conta de armazenamento do Azure com token SAS excessivamente permissivo

(Storage.Blob_AccountSas.InternalSasUsedExternally

Storage.Files_AccountSas.InternalSasUsedExternally)

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. Este tipo de acesso é considerado suspeito porque o token SAS é normalmente usado apenas em redes internas (a partir de endereços IP privados). A atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, usar um token SAS de alta permissão com uma data de expiração longa vai contra as práticas recomendadas de segurança e representa um risco potencial de segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Operação externa suspeita para uma conta de armazenamento do Azure com token SAS excessivamente permissivo

(Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Storage.Files_AccountSas.UnusualOperationFromExternalIp)

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. O acesso é considerado suspeito porque as operações invocadas fora da sua rede (não a partir de endereços IP privados) com este token SAS são normalmente utilizadas para um conjunto específico de operações de Leitura/Escrita/Eliminação, mas ocorreram outras operações, o que torna este acesso suspeito. Essa atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, usar um token SAS de alta permissão com uma data de expiração longa vai contra as práticas recomendadas de segurança e representa um risco potencial de segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Um token SAS incomum foi usado para acessar uma conta de armazenamento do Azure a partir de um endereço IP público

(Storage.Blob_AccountSas.UnusualExternalAccess

Storage.Files_AccountSas.UnusualExternalAccess)

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS de conta. O acesso é altamente incomum e considerado suspeito, já que o acesso à conta de armazenamento usando tokens SAS normalmente vem apenas de endereços IP internos (privados). É possível que um token SAS tenha sido vazado ou gerado por um ator mal-intencionado dentro da sua organização ou externamente para obter acesso a essa conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Baixa

Arquivo malicioso carregado para a conta de armazenamento

Storage.Blob_AM. MalwareFound

Descrição: o alerta indica que um blob malicioso foi carregado para uma conta de armazenamento. Este alerta de segurança é gerado pelo recurso de verificação de malware no Defender for Storage. As causas potenciais podem incluir um carregamento intencional de malware por um agente de ameaça ou um carregamento não intencional de um ficheiro malicioso por um utilizador legítimo. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de verificação de malware habilitado.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

O blob malicioso foi baixado de uma conta de armazenamento

Storage.Blob_MalwareDownload

Descrição: o alerta indica que um blob mal-intencionado foi baixado de uma conta de armazenamento. As causas potenciais podem incluir malware que foi carregado para a conta de armazenamento e não foi removido ou colocado em quarentena, permitindo assim que um agente de ameaça o transfira, ou um descarregamento não intencional do malware por utilizadores legítimos ou aplicações. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de verificação de malware habilitado.

Táticas MITRE: Movimento Lateral

Gravidade: Alta, se Eicar - baixa

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos