共用方式為


Azure Key Vault 的警示

本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 Azure 金鑰保存庫 的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。

注意

Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

Azure 金鑰保存庫 警示

進一步的詳細數據和附註

從可疑IP位址存取金鑰保存庫

(KV_SuspiciousIPAccess)

描述:Microsoft威脅情報識別為可疑IP位址的IP已成功存取密鑰保存庫。 這可能表示您的基礎結構已遭入侵。 我們建議進一步調查。 深入瞭解 Microsoft的威脅情報功能

MITRE 策略:認證存取

嚴重性:中

從 TOR 結束節點存取金鑰保存庫

(KV_TORAccess)

描述:已從已知的 TOR 結束節點存取金鑰保存庫。 這可能表示威脅執行者已存取金鑰保存庫,並使用 TOR 網路來隱藏其來源位置。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

金鑰保存庫中的大量作業

(KV_OperationVolumeAnomaly)

描述:用戶、服務主體和/或特定密鑰保存庫執行了異常數目的密鑰保存庫作業。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

金鑰保存庫中的可疑原則變更和秘密查詢

(KV_PutGetAnomaly)

描述:用戶或服務主體已執行異常保存庫放置原則變更作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的用戶或服務主體執行。 這可能是合法的活動,但可能是威脅執行者已更新密鑰保存庫原則,以存取先前無法存取的秘密。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

金鑰保存庫中的可疑秘密清單和查詢

(KV_ListGetAnomaly)

描述:用戶或服務主體已執行異常秘密清單作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的使用者或服務主體執行,通常與秘密傾印相關聯。 這可能是合法的活動,但可能是表示威脅執行者已取得密鑰保存庫的存取權,並嘗試探索可用來橫向透過網路移動的秘密,並/或取得敏感性資源的存取權。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

異常拒絕存取 - 使用者存取大量密鑰保存庫遭到拒絕

(KV_AccountVolumeAccessDeniedAnomaly)

描述:用戶或服務主體在過去 24 小時內嘗試存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 我們建議進一步調查。

MITRE 策略:探索

嚴重性:低

異常存取遭拒 - 異常使用者存取密鑰保存庫遭拒

(KV_UserAccessDeniedAnomaly)

描述:未正常存取金鑰保存庫的用戶嘗試存取金鑰保存庫,此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。

MITRE 策略:初始存取、探索

嚴重性:低

不尋常的應用程式存取金鑰保存庫

(KV_AppAnomaly)

描述:通常無法存取金鑰保存庫的服務主體已存取金鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

金鑰保存庫中不尋常的作業模式

(KV_OperationPatternAnomaly)

描述:金鑰保存庫作業的異常模式是由用戶、服務主體和/或特定密鑰保存庫所執行。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

不尋常的使用者存取金鑰保存庫

(KV_UserAnomaly)

描述:使用者已存取密鑰保存庫,而該保存庫通常無法加以存取。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

不尋常的使用者應用程式組存取金鑰保存庫

(KV_UserAppAnomaly)

描述:使用者服務主體組已存取密鑰保存庫,但通常無法存取密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

使用者存取大量金鑰保存庫

(KV_AccountVolumeAnomaly)

描述:用戶或服務主體已存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得多個密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

拒絕從可疑IP存取金鑰保存庫

(KV_SuspiciousIPAccessDenied)

描述:Microsoft威脅情報識別為可疑IP位址的IP嘗試密鑰保存庫存取失敗。 雖然此嘗試失敗,但表示您的基礎結構可能已遭入侵。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:低

從可疑 IP 異常存取金鑰保存庫 (非Microsoft或外部)

(KV_UnusualAccessSuspiciousIP)

描述:用戶或服務主體在過去 24 小時內嘗試從非Microsoft IP 存取金鑰保存庫的異常存取。 此異常存取模式可能是合法的活動。 這可能表示可能嘗試取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。

MITRE 策略:認證存取

嚴重性:中

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步