Avvisi per Azure Key Vault
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per Azure Key Vault da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi di Azure Key Vault
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccess)
Descrizione: un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò potrebbe indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso da un nodo di uscita TOR a un insieme di credenziali delle chiavi
(KV_TORAccess)
Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da un nodo di uscita TOR noto. Potrebbe indicare che un utente malintenzionato ha eseguito l'accesso all'insieme di credenziali delle chiavi e usa la rete TOR per nascondere la sua posizione di origine. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Volume elevato di operazioni in un insieme di credenziali delle chiavi
(KV_OperationVolumeAnomaly)
Descrizione: un numero anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Modifica dei criteri e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_PutGetAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito un'operazione di modifica dei criteri Put dell'insieme di credenziali anomale seguita da una o più operazioni Get segrete. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha aggiornato i criteri dell'insieme di credenziali delle chiavi per accedere ai segreti precedentemente inaccessibili. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Elenco e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_ListGetAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito un'operazione di elenco segreti anomale seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata ed è in genere associato al dump di segreti. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minacce ha ottenuto l'accesso all'insieme di credenziali delle chiavi e sta tentando di individuare segreti che possono essere usati per spostarsi in modo successivo attraverso la rete e/o ottenere l'accesso alle risorse sensibili. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato
(KV_AccountVolumeAccessDeniedAnomaly)
Descrizione: un utente o un'entità servizio ha tentato di accedere a un volume anomalo di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Individuazione
Gravità: Bassa
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi
(KV_UserAccessDeniedAnomaly)
Descrizione: un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso.
Tattiche MITRE: accesso iniziale, individuazione
Gravità: Bassa
Un'applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_AppAnomaly)
Descrizione: un insieme di credenziali delle chiavi è stato accessibile da un'entità servizio che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Modello di operazione insolito in un insieme di credenziali delle chiavi
(KV_OperationPatternAnomaly)
Descrizione: un modello anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Un utente insolito ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAnomaly)
Descrizione: accesso a un insieme di credenziali delle chiavi da parte di un utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Una coppia utente-applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAppAnomaly)
Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da parte di una coppia di entità servizio utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Un utente ha avuto accesso a un volume elevato di insiemi di credenziali delle chiavi
(KV_AccountVolumeAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito l'accesso a un volume anomalo di insiemi di credenziali delle chiavi. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso a più insiemi di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di essi. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccessDenied)
Descrizione: un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: Bassa
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno)
(KV_UnusualAccessSuspiciousIP)
Descrizione: un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.