你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

针对 Azure Cosmos DB 的警报

本文列出了从 Microsoft Defender for Cloud 获取的 Azure Cosmos DB 以及已启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure Cosmos DB 警报

更多详细信息和说明

来自 Tor 退出节点的访问

(CosmosDB_TorAnomaly)

说明:此 Azure Cosmos DB 帐户已成功从已知为 Tor 的活动退出节点(匿名代理)的 IP 地址进行访问。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。

MITRE 策略:初始访问

严重性:高/中

来自可疑 IP 的访问

(CosmosDB_SuspiciousIp)

说明:此 Azure Cosmos DB 帐户已成功从Microsoft威胁智能标识为威胁的 IP 地址进行访问。

MITRE 策略:初始访问

严重性:中等

来自异常位置的访问

(CosmosDB_GeoAnomaly)

说明:根据通常的访问模式,此 Azure Cosmos DB 帐户是从被视为不熟悉的位置访问的。

可能是威胁参与者已获取帐户访问权限,也可能是合法用户从新的或异常的地理位置进行连接

MITRE 策略:初始访问

严重性:低

数据提取量异常

(CosmosDB_DataExfiltrationAnomaly)

说明:从此 Azure Cosmos DB 帐户中提取了异常大量数据。 这可能表示威胁参与者已外泄数据。

MITRE 策略:外泄

严重性:中等

通过潜在恶意脚本提取 Azure Cosmos DB 帐户密钥

(CosmosDB_SuspiciousListKeys.MaliciousScript)

说明:PowerShell 脚本在订阅中运行,并执行了可疑的密钥列表操作模式,以获取订阅中的 Azure Cosmos DB 帐户的密钥。 威胁参与者使用自动脚本(如 Microburst)列出密钥并找到他们可以访问的 Azure Cosmos DB 帐户。

此操作可能表明你组织中的某个身份遭到入侵,并且威胁参与者正在尝试破坏环境中的 Azure Cosmos DB 帐户,以实现恶意目的。

或者,图谋不轨的内部人员可能会尝试访问敏感数据并执行横向移动。

MITRE 策略:集合

严重性:中等

可疑提取 Azure Cosmos DB 帐户密钥

(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

说明:从订阅中提取可疑源的 Azure Cosmos DB 帐户访问密钥。 如果此源不是合法的源,这可能是一个影响很大的问题。 提取的访问密钥提供对关联数据库和存储在其中的数据的完全控制权限。 查看每个特定警报的详细信息,了解源被标记为可疑的原因。

MITRE 策略:凭据访问

严重性:高

SQL 注入:潜在数据外泄

(CosmosDB_SqlInjection.DataExfiltration)

说明:一个可疑的 SQL 语句用于查询此 Azure Cosmos DB 帐户中的容器。

注入的语句可能已成功外泄威胁参与者无权访问的数据。

由于 Azure Cosmos DB 查询的结构和功能,许多针对 Azure Cosmos DB 帐户的已知 SQL 注入攻击无法奏效。 但是,此攻击中使用的变体可能起作用,威胁参与者可能会泄露数据。

MITRE 策略:外泄

严重性:中等

SQL 注入:模糊尝试

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

说明:一个可疑的 SQL 语句用于查询此 Azure Cosmos DB 帐户中的容器。

与其他常见的 SQL 注入攻击一样,此攻击不会成功入侵 Azure Cosmos DB 帐户。

不过,这表明威胁参与者正在尝试攻击此帐户中的资源,并且应用程序可能遭到入侵。

某些 SQL 注入攻击可能会成功,其目的是外泄数据。 这意味着,如果攻击者继续执行 SQL 注入尝试,他们可能无法入侵 Azure Cosmos DB 帐户并泄露数据。

可以使用参数化查询来防止此威胁。

MITRE 策略:攻击前

严重性:低

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤