你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 存储警报

本文列出了从 Microsoft Defender for Cloud 获取Azure 存储的安全警报以及启用的任何 Microsoft Defender 计划。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure 存储警报

更多详细信息和说明

来自可疑应用程序的访问

(Storage.Blob_SuspiciousApp)

说明:指示可疑应用程序已成功访问具有身份验证的存储帐户的容器。 这可能表示攻击者获取了访问该帐户所必要的凭据,并在利用该帐户。 这也可能是在你的组织中进行渗透测试的一个迹象。 适用于:Azure Blob 存储、Azure Data Lake Storage Gen2

MITRE 策略:初始访问

严重性:高/中

来自可疑 IP 地址的访问

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

说明:指示已成功从被视为可疑的 IP 地址访问此存储帐户。 此警报由 Microsoft 威胁智能提供支持。 详细了解 Microsoft 威胁智能功能。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略:进攻前

严重性:高/中/低

存储帐户上托管的欺诈内容

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

说明:网络钓鱼攻击中使用的 URL 指向Azure 存储帐户。 此 URL 是影响 Microsoft 365 用户的网络钓鱼攻击的一部分。 通常,在此类页面上承载的内容旨在诱使访问者将其企业凭据或财务信息输入到看似合法的 Web 窗体中。 此警报由 Microsoft 威胁智能提供支持。 详细了解 Microsoft 威胁智能功能。 适用于:Azure Blob 存储、Azure 文件存储

MITRE 策略:集合

严重性:高

标识为分发恶意软件的源的存储帐户

(Storage.Files_WidespreadeAm)

说明:反恶意软件警报指示已感染的文件存储在装载到多个 VM 的 Azure 文件共享中。 如果攻击者获得了某一 VM 的访问权限,而该 VM 装载了 Azure 文件共享,他们可能会利用该权限将恶意软件传播到装载了同一共享的其他 VM。 适用于:Azure 文件存储

MITRE 策略:执行

严重性:中等

已更改潜在敏感存储 Blob 容器的访问级别,以允许未经身份验证的公共访问

(Storage.Blob_OpenACL)

说明:警报指示有人已将存储帐户中 Blob 容器的访问级别(可能包含敏感数据)更改为“容器”级别,以允许未经身份验证(匿名)公共访问。 更改是通过Azure 门户进行的。 根据统计分析,Blob 容器被标记为可能包含敏感数据。 此分析表明,通常不会公开具有类似名称的 Blob 容器或存储帐户进行公共访问。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob)存储帐户。

MITRE 策略:集合

严重性:中等

来自 Tor 退出节点的经过身份验证的访问

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

说明:从已知为 Tor 的活动退出节点(匿名代理)的 IP 地址成功访问存储帐户中的一个或多个存储容器(s) /文件共享。 威胁参与者使用 Tor 来使用户难以追踪到他们的活动。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略:初始访问/攻击前

严重性:高/中

有人从异常位置访问存储帐户

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

说明:指示对Azure 存储帐户的访问模式发生了更改。 与最近的活动相比,有人从较为陌生的 IP 地址访问了此帐户。 可能是攻击者已获取帐户访问权限,也可能是合法用户从新的或异常的地理位置进行连接。 后者的示例包括来自新应用程序或开发人员的远程维护操作。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略:初始访问

严重性:高/中/低

对存储容器的未经身份验证的异常访问

(Storage.Blob_AnonymousAccessAnomaly)

说明:此存储帐户未经身份验证访问,这是常见访问模式的更改。 对此容器的读取访问通常是经过身份验证的。 这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。 适用于:Azure Blob 存储

MITRE 策略:初始访问

严重性:高/低

可能的恶意软件已上传到存储帐户

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

说明:指示包含潜在恶意软件的 Blob 已上传到存储帐户中的 Blob 容器或文件共享。 此警报基于哈希信誉分析,利用了 Microsoft 威胁智能(包括病毒、特洛伊木马、间谍软件和勒索软件的哈希)的强大功能。 潜在原因可能包括攻击者有意上传恶意软件,或者合法用户无意上传潜在的恶意 Blob。 适用于:Azure Blob 存储、Azure 文件存储(仅适用于 REST API 上的事务),详细了解Microsoft的威胁情报功能

MITRE 策略:横向移动

严重性:高

成功发现可公开访问的存储容器

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

说明:扫描脚本或工具在过去一小时内成功发现存储帐户中公开打开的存储容器。

这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。

✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2

MITRE 策略:集合

严重性:高/中

未成功扫描可公开访问的存储容器

(Storage.Blob_OpenContainersScanning.FailedAttempt)

说明:在过去一小时内执行了一系列扫描公开打开的存储容器失败尝试。

这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。

✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2

MITRE 策略:集合

严重性:高/低

存储帐户中的异常访问检查

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

说明:与此帐户上最近的活动相比,以异常方式检查了存储帐户的访问权限。 可能的原因是攻击者在为以后的攻击执行侦查。 适用于:Azure Blob 存储、Azure 文件存储

MITRE 策略:发现

严重性:高/中

从存储帐户提取的数据量异常

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

说明:指示与此存储容器上的最近活动相比,提取了异常大量的数据。 可能的原因是攻击者从保存 blob 存储的容器中提取了大量数据。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略:外泄

严重性:高/低

异常应用程序访问了存储帐户

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

说明:指示异常应用程序已访问此存储帐户。 可能的原因是攻击者通过使用新应用程序访问了存储帐户。 适用于:Azure Blob 存储、Azure 文件存储

MITRE 策略:执行

严重性:高/中

存储帐户中的异常数据浏览活动

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

说明:与此帐户上的最近活动相比,指示存储帐户中的 blob 或容器已以异常方式枚举。 可能的原因是攻击者在为以后的攻击执行侦查。 适用于:Azure Blob 存储、Azure 文件存储

MITRE 策略:执行

严重性:高/中

存储帐户中的异常删除活动

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

说明:指示存储帐户中发生了一个或多个意外的删除操作,这与此帐户上的最近活动相比。 可能的原因是攻击者从存储帐户中删除了数据。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略:外泄

严重性:高/中

对敏感 Blob 容器的异常未经身份验证的公共访问

Storage.Blob_AnonymousAccessAnomaly.Sensitive

说明:警报指示有人使用外部(公共)IP 地址访问存储帐户中具有敏感数据的 Blob 容器,而无需进行身份验证。 此访问很可疑,因为 blob 容器对公共访问开放,并且通常只能通过从内部网络(专用 IP 地址)在经过身份验证的情况下进行访问。 此访问可能指示 Blob 容器的访问级别配置不当,恶意参与者可能利用了公共访问。 安全警报包括发现的敏感信息上下文(扫描时间、分类标签、信息类型和文件类型)。 详细了解敏感数据威胁检测。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:初始访问

严重性:高

从敏感 Blob 容器中提取的异常数据量

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

说明:警报指示有人从存储帐户中具有敏感数据的 Blob 容器中提取了异常大量数据。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:外泄

严重性:中等

从敏感 Blob 容器中提取的异常 Blob 数

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

说明:警报指示有人从存储帐户中具有敏感数据的 Blob 容器中提取了异常大量的 Blob。 适用于:具有新的 Defender for Storage 计划并且启用了数据敏感度威胁检测功能的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob)存储帐户。

MITRE 策略:外泄

从已知可疑应用程序访问敏感 Blob 容器

Storage.Blob_SuspiciousApp.Sensitive

说明:警报指示具有已知可疑应用程序的某人访问了存储帐户中具有敏感数据的 Blob 容器,并执行了经过身份验证的操作。
访问可能表明威胁参与者已获取凭据,以使用已知的可疑应用程序访问存储帐户。 但是,访问也可能指示在组织中进行了渗透测试。 适用于:具有新的 Defender for Storage 计划并且启用了数据敏感度威胁检测功能的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob)存储帐户。

MITRE 策略:初始访问

严重性:高

从已知可疑 IP 地址访问敏感 Blob 容器

Storage.Blob_SuspiciousIp.Sensitive

说明:警报指示有人通过Microsoft威胁情报从与威胁情报关联的已知可疑 IP 地址访问存储帐户中具有敏感数据的 Blob 容器。 由于访问经过身份验证,因此允许访问此存储帐户的凭据可能被泄露。 详细了解 Microsoft 威胁智能功能。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:预攻击

严重性:高

从 Tor 退出节点访问敏感 Blob 容器

Storage.Blob_TorAnomaly.Sensitive

说明:警报指示已知为 Tor 退出节点的某人访问了存储帐户中具有敏感数据且具有经过身份验证访问权限的 Blob 容器。 来自 Tor 出口节点的经过身份验证的访问强烈表明参与者试图保持匿名,以达到可能的恶意意图。 由于访问经过身份验证,因此允许访问此存储帐户的凭据可能被泄露。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:预攻击

严重性:高

从异常位置访问敏感 Blob 容器

Storage.Blob_GeoAnomaly.Sensitive

说明:警报指示有人从异常位置使用存储帐户中的敏感数据访问了 Blob 容器, 由于访问经过身份验证,因此允许访问此存储帐户的凭据可能被泄露。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:初始访问

严重性:中等

更改了敏感存储 Blob 容器的访问级别,以允许未经身份验证的公共访问

Storage.Blob_OpenACL.Sensitive

说明:警报指示有人已将存储帐户中 Blob 容器的访问级别(其中包含敏感数据)更改为“容器”级别,该级别允许未经身份验证(匿名)公共访问。 更改是通过Azure 门户进行的。 访问级别更改可能会损害数据的安全性。 建议立即采取措施来保护数据,并在触发此警报时防止未经授权的访问。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了数据敏感度威胁检测功能的新 Defender for Storage 计划。

MITRE 策略:集合

严重性:高

对具有过度宽松 SAS 令牌的 Azure 存储帐户的可疑外部访问

(Storage.Blob_AccountSas.InternalSasUsedExternally

Storage.Files_AccountSas.InternalSasUsedExternally)

说明:警报指示具有外部(公共)IP 地址的人员使用过期日期过长的过度宽松 SAS 令牌访问存储帐户。 这种类型的访问被视为可疑,因为 SAS 令牌通常仅在内部网络中使用(从专用 IP 地址)。 活动可能表明 SAS 令牌已由恶意参与者泄露,或者无意中从合法来源泄露。 即使访问是合法的,使用过期日期较长、权限较高的 SAS 令牌也会违反安全最佳做法,并带来潜在的安全风险。 适用于:使用新的 Defender for Storage 计划的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户。

MITRE 策略:外泄/资源开发/影响

严重性:中等

具有过度宽松 SAS 令牌的 Azure 存储帐户的可疑外部操作

(Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Storage.Files_AccountSas.UnusualOperationFromExternalIp)

说明:警报指示具有外部(公共)IP 地址的人员使用过期日期过长的过度宽松 SAS 令牌访问存储帐户。 该访问被视为可疑,因为使用此 SAS 令牌在网络外部调用的操作(而不是从专用 IP 地址)通常用于一组特定的读/写/删除操作,但发生了其他操作,这使此访问变得可疑。 此活动可能表示恶意参与者已泄露 SAS 令牌,或者无意中从合法来源泄露。 即使访问是合法的,使用过期日期较长、权限较高的 SAS 令牌也会违反安全最佳做法,并带来潜在的安全风险。 适用于:使用新的 Defender for Storage 计划的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户。

MITRE 策略:外泄/资源开发/影响

严重性:中等

异常 SAS 令牌用于从公共 IP 地址访问 Azure 存储帐户

(Storage.Blob_AccountSas.UnusualExternalAccess

Storage.Files_AccountSas.UnusualExternalAccess)

说明:警报指示具有外部(公共)IP 地址的人员已使用帐户 SAS 令牌访问存储帐户。 访问非常异常,被认为是可疑的,因为使用 SAS 令牌访问存储帐户通常只来自内部(专用)IP 地址。 SAS 令牌可能是恶意参与者从你的组织内部或外部泄露或生成的,以获取对此存储帐户的访问权限。 适用于:使用新的 Defender for Storage 计划的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户。

MITRE 策略:外泄/资源开发/影响

严重性:低

上传到存储帐户的恶意文件

Storage.Blob_AM.MalwareFound

说明:警报指示恶意 Blob 已上传到存储帐户。 此安全警报由 Defender for Storage 中的恶意软件扫描功能生成。 潜在原因可能包括威胁参与者有意上传恶意软件,或者合法用户无意上传恶意文件。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了恶意软件扫描功能的新 Defender for Storage 计划。

MITRE 策略:横向移动

严重性:高

已从存储帐户下载恶意 Blob

Storage.Blob_MalwareDownload

说明:警报指示已从存储帐户下载恶意 Blob。 潜在原因可能包括上传到存储帐户但未删除或隔离的恶意软件,从而使威胁参与者能够下载它,或者合法用户或应用程序无意下载恶意软件。 适用于:Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 Blob)存储帐户,其中启用了恶意软件扫描功能的新 Defender for Storage 计划。

MITRE 策略:横向移动

严重性:高,如果 Eicar - 低

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤