Aviseringar för Azure Cosmos DB
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure Cosmos DB från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Microsoft Defender Hotinformation och Microsoft Defender för Endpoint kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Azure Cosmos DB-aviseringar
Mer information och anteckningar
Åtkomst från en tor-slutnod
(CosmosDB_TorAnomaly)
Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor, en anonymiseringsproxy. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en misstänkt IP-adress
(CosmosDB_SuspiciousIp)
Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som identifierades som ett hot av Microsoft Threat Intelligence.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Åtkomst från en ovanlig plats
(CosmosDB_GeoAnomaly)
Beskrivning: Det här Azure Cosmos DB-kontot användes från en plats som anses obekant, baserat på det vanliga åtkomstmönstret.
Antingen har en hotaktör fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Ovanlig mängd data som extraherats
(CosmosDB_DataExfiltrationAnomaly)
Beskrivning: En ovanligt stor mängd data har extraherats från det här Azure Cosmos DB-kontot. Detta kan tyda på att en hotskådespelare exfiltraterade data.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Extrahering av Azure Cosmos DB-kontonycklar via ett potentiellt skadligt skript
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster med nyckellistningsåtgärder för att hämta nycklarna för Azure Cosmos DB-konton i din prenumeration. Hotaktörer använder automatiserade skript, till exempel Microburst, för att lista nycklar och hitta Azure Cosmos DB-konton som de kan komma åt.
Den här åtgärden kan tyda på att en identitet i din organisation har brutits och att hotskådespelaren försöker kompromettera Azure Cosmos DB-konton i din miljö för skadliga avsikter.
Alternativt kan en obehörig insider försöka komma åt känsliga data och utföra lateral förflyttning.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Misstänkt extrahering av Azure Cosmos DB-kontonycklar
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Beskrivning: En misstänkt källa extraherade Åtkomstnycklar för Azure Cosmos DB-kontot från din prenumeration. Om den här källan inte är en legitim källa kan det vara ett problem med hög påverkan. Åtkomstnyckeln som extraherades ger fullständig kontroll över de associerade databaserna och de data som lagras i. Se information om varje specifik avisering för att förstå varför källan flaggades som misstänkt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: hög
SQL-inmatning: potentiell dataexfiltrering
(CosmosDB_SqlInjection.DataExfiltration)
Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.
Den inmatade instruktionen kan ha lyckats exfiltratera data som hotskådespelaren inte har behörighet att komma åt.
På grund av strukturen och funktionerna i Azure Cosmos DB-frågor kan många kända SQL-inmatningsattacker på Azure Cosmos DB-konton inte fungera. Den variant som används i den här attacken kan dock fungera och hotaktörer kan exfiltera data.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
SQL-inmatning: fuzzing-försök
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.
Precis som andra välkända SQL-inmatningsattacker lyckas den här attacken inte äventyra Azure Cosmos DB-kontot.
Det är dock en indikation på att en hotskådespelare försöker attackera resurserna i det här kontot och att ditt program kan komma att komprometteras.
Vissa SQL-inmatningsattacker kan lyckas och användas för att exfiltera data. Det innebär att om angriparen fortsätter att utföra SQL-inmatningsförsök kan de kanske kompromettera ditt Azure Cosmos DB-konto och exfiltera data.
Du kan förhindra det här hotet med hjälp av parametriserade frågor.
MITRE-taktik: Före attack
Allvarlighetsgrad: Låg
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.