Avvisi per Azure Cosmos DB
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per Azure Cosmos DB da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi di Azure Cosmos DB
Accesso da un nodo di uscita tor
(CosmosDB_TorAnomaly)
Descrizione: l'accesso a questo account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP noto come nodo di uscita attivo di Tor, un proxy di anonimizzazione. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità.
Tattiche MITRE: Accesso iniziale
Gravità: alta/media
Accesso da un indirizzo IP sospetto
(CosmosDB_SuspiciousIp)
Descrizione: l'accesso all'account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP identificato come minaccia da Microsoft Threat Intelligence.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Accesso da una posizione insolita
(CosmosDB_GeoAnomaly)
Descrizione: questo account Azure Cosmos DB è stato eseguito dall'accesso da una posizione considerata non familiare, in base al modello di accesso consueto.
Un attore di minaccia ha ottenuto l'accesso all'account o un utente legittimo si è connesso da una posizione geografica nuova o insolita
Tattiche MITRE: Accesso iniziale
Gravità: Bassa
Volume insolito dei dati estratti
(CosmosDB_DataExfiltrationAnomaly)
Descrizione: un volume insolitamente elevato di dati è stato estratto da questo account Azure Cosmos DB. Ciò potrebbe indicare che un attore di minaccia esfiltra i dati.
Tattiche MITRE: esfiltrazione
Gravità: medio
Estrazione delle chiavi degli account Azure Cosmos DB tramite uno script potenzialmente dannoso
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di operazioni di elenco delle chiavi per ottenere le chiavi degli account Azure Cosmos DB nella sottoscrizione. Gli attori delle minacce usano script automatizzati, ad esempio Microburst, per elencare le chiavi e trovare gli account Azure Cosmos DB a cui possono accedere.
Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere gli account Azure Cosmos DB nell'ambiente per finalità dannose.
In alternativa, un insider malintenzionato potrebbe tentare di accedere ai dati sensibili ed eseguire lo spostamento laterale.
Tattiche MITRE: Raccolta
Gravità: medio
Estrazione sospetta delle chiavi dell'account Azure Cosmos DB
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Descrizione: un'origine sospetta estratta dalle chiavi di accesso dell'account Azure Cosmos DB dalla sottoscrizione. Se questa origine non è una fonte legittima, potrebbe trattarsi di un problema ad alto impatto. La chiave di accesso estratta fornisce il controllo completo sui database associati e sui dati archiviati all'interno. Per informazioni sul motivo per cui l'origine è stata contrassegnata come sospetta, vedere i dettagli di ogni avviso specifico.
Tattiche MITRE: Accesso alle credenziali
Gravità: alta
SQL injection: potenziale esfiltrazione di dati
(CosmosDB_SqlInjection.DataExfiltration)
Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.
L'istruzione inserita potrebbe avere avuto esito positivo nell'esfiltrazione dei dati a cui l'attore di minaccia non è autorizzato ad accedere.
A causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti sugli account Azure Cosmos DB non possono funzionare. Tuttavia, la variazione usata in questo attacco potrebbe funzionare e gli attori delle minacce possono esfiltrare i dati.
Tattiche MITRE: esfiltrazione
Gravità: medio
SQL injection: tentativo di fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.
Analogamente ad altri attacchi SQL injection noti, questo attacco non riuscirà a compromettere l'account Azure Cosmos DB.
Tuttavia, è un'indicazione che un attore di minaccia sta tentando di attaccare le risorse in questo account e l'applicazione potrebbe essere compromessa.
Alcuni attacchi SQL injection possono avere esito positivo e essere usati per esfiltrare i dati. Ciò significa che se l'utente malintenzionato continua a eseguire tentativi di inserimento SQL, potrebbe essere in grado di compromettere l'account Azure Cosmos DB ed esfiltrare i dati.
È possibile evitare questa minaccia usando query con parametri.
Tattiche MITRE: Pre-attacco
Gravità: Bassa
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.