A támadási útvonalak és a felhőbiztonsági gráf összetevőinek referencialistája
Ez a cikk a Defender Cloud Security Posture Managementben (CSPM) használt támadási útvonalakat, kapcsolatokat és elemzéseket sorolja fel.
- Engedélyeznie kell a Defender CSPM-et a támadási útvonalak megtekintéséhez.
- A környezetében megjelenő információk a védeni kívánt erőforrásoktól és a testre szabott konfigurációtól függenek.
További információ a felhőbiztonsági gráfról, a támadási útvonal elemzéséről és a felhőbiztonsági kezelőről.
Támadási útvonalak
Azure-beli virtuális gépek
Előfeltétel: Az előfeltételek listájáért tekintse meg a támadási útvonalak rendelkezésre állási tábláját .
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az internetről közzétett virtuális gép súlyos biztonsági résekkel rendelkezik | Egy virtuális gép elérhető az internetről, és súlyos biztonsági résekkel rendelkezik. |
Az internetről közzétett virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és magas engedélyekkel rendelkezik az előfizetéshez | Egy virtuális gép elérhető az internetről, súlyos biztonsági résekkel, valamint identitással és előfizetési engedélyekkel rendelkezik. |
Az internetről közzétett virtuális gép súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik a bizalmas adatokat tartalmazó adattárhoz | Egy virtuális gép elérhető az internetről, súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik a bizalmas adatokat tartalmazó adattárhoz. Előfeltétel: Adatérzékeny biztonság engedélyezése a tárfiókok számára a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
Az internet által közzétett virtuális gép súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy adattárhoz | Egy virtuális gép elérhető az internetről, és nagy súlyosságú biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy adattárhoz. |
Az interneten közzétett virtuális gép súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik a Key Vaulthoz | Egy virtuális gép elérhető az internetről, és súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy kulcstartóhoz. |
A virtuális gép magas súlyosságú biztonsági résekkel és nagy jogosultságokkal rendelkezik egy előfizetéshez | A virtuális gépek magas súlyosságú biztonsági résekkel rendelkezik, és nagy jogosultsággal rendelkezik egy előfizetéshez. |
A virtuális gép súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik a bizalmas adatokat tartalmazó adattárhoz | A virtuális gépek magas súlyosságú biztonsági résekkel és olvasási engedéllyel rendelkezik a bizalmas adatokat tartalmazó adattárhoz. Előfeltétel: Adatérzékeny biztonság engedélyezése a tárfiókok számára a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
A virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy kulcstartóhoz | A virtuális gépek magas súlyosságú biztonsági résekkel és olvasási engedéllyel rendelkezik egy kulcstartóhoz. |
A virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy adattárhoz | A virtuális gépek magas súlyosságú biztonsági résekkel és olvasási engedéllyel rendelkezik egy adattárhoz. |
Az internet által közzétett virtuális gép magas súlyosságú biztonsági rést és nem biztonságos SSH titkos kulcsot használ, amely hitelesítést végezhet egy másik virtuális gépen | Egy Azure-beli virtuális gép elérhető az internetről, súlyos biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulcsával rendelkezik, amely hitelesítést végezhet egy másik AWS EC2-példányon |
Az internet által közzétett virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amelyet az SQL Serveren való hitelesítéshez használnak | Egy Azure-beli virtuális gép elérhető az internetről, súlyos biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulcsával rendelkezik, amely hitelesíthető egy SQL Serveren |
A virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amelyet az SQL Serveren való hitelesítéshez használnak | Egy Azure-beli virtuális gép súlyos biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulcsokkal rendelkezik, amelyek hitelesíthetők egy SQL Serveren |
A virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos egyszerű szöveges titkos kóddal rendelkezik, amelyet a tárfiók hitelesítésére használnak | Egy Azure-beli virtuális gép súlyos biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulccsal rendelkezik, amely hitelesíthető egy Azure Storage-fiókban |
Az interneten közzétett virtuális gép magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amelyet a tárfiók hitelesítésére használnak | Egy Azure-beli virtuális gép elérhető az internetről, súlyos biztonsági résekkel rendelkezik, és olyan titkos kódokkal rendelkezik, amelyek hitelesíthetők egy Azure Storage-fiókban |
AWS EC2-példányok
Előfeltétel: Ügynök nélküli vizsgálat engedélyezése.
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az interneten közzétett EC2-példány súlyos biztonsági résekkel és magas engedélyekkel rendelkezik egy fiókhoz | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és engedéllyel rendelkezik egy fiókhoz. |
Az internet által közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy adatbázishoz | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és engedéllyel rendelkezik egy adatbázishoz. |
Az interneten közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik az S3 gyűjtőhöz | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és IAM-szerepkörrel rendelkezik, amely IAM-szabályzaton vagy gyűjtőszabályzaton keresztül engedélyekkel rendelkezik egy S3-gyűjtőhöz, vagy egy IAM-szabályzaton és egy gyűjtőszabályzaton keresztül. |
Az interneten közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik egy bizalmas adatokat tartalmazó S3-gyűjtőhöz | Az internetről elérhető AWS EC2-példány súlyos biztonsági résekkel rendelkezik, és rendelkezik egy IAM-szerepkörrel, amely engedélyekkel rendelkezik egy bizalmas adatokat tartalmazó S3-gyűjtőhöz IAM-szabályzaton vagy gyűjtőszabályzaton keresztül, vagy IAM-szabályzaton és gyűjtőszabályzaton keresztül. Előfeltétel: Adatérzékeny biztonság engedélyezése S3-gyűjtőkhöz a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
Az internet által közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és olvasási engedéllyel rendelkezik a KMS-hez | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és IAM-szerepkörrel rendelkezik az AWS-kulcskezelő szolgáltatás (KMS) engedélyével egy IAM-szabályzaton vagy egy AWS-kulcskezelő szolgáltatás (KMS) szabályzaton keresztül, vagy IAM-szabályzaton és AWS KMS-szabályzaton keresztül. |
Az interneten közzétett EC2-példány súlyos biztonsági résekkel rendelkezik | Az AWS EC2-példány elérhető az internetről, és nagy súlyosságú biztonsági résekkel rendelkezik. |
A magas súlyosságú biztonsági résekkel rendelkező EC2-példány magas jogosultsági szintű engedélyekkel rendelkezik egy fiókhoz | Az AWS EC2-példányok magas súlyosságú biztonsági résekkel rendelkezik, és engedéllyel rendelkezik egy fiókhoz. |
A magas súlyosságú biztonsági résekkel rendelkező EC2-példány olvasási engedélyekkel rendelkezik egy adattárhoz | Az AWS EC2-példányok magas súlyosságú biztonsági résekkel rendelkeznek, és IAM-szerepkörrel rendelkeznek, amely IAM-szabályzaton vagy gyűjtőszabályzaton keresztül, illetve IAM-szabályzaton és gyűjtőszabályzaton keresztül engedélyekkel rendelkezik egy S3-gyűjtőhöz. |
A magas súlyosságú biztonsági résekkel rendelkező EC2-példány olvasási engedélyekkel rendelkezik a bizalmas adatokat tartalmazó adattárhoz | Az AWS EC2-példányok súlyos biztonsági résekkel rendelkeznek, és IAM-szerepkörrel rendelkeznek, amely engedélyekkel rendelkezik egy bizalmas adatokat tartalmazó S3-gyűjtőhöz IAM-szabályzaton vagy gyűjtőszabályzaton keresztül, illetve IAM- és gyűjtőszabályzaton keresztül. Előfeltétel: Adatérzékeny biztonság engedélyezése S3-gyűjtőkhöz a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
A magas súlyosságú biztonsági résekkel rendelkező EC2-példány olvasási engedélyekkel rendelkezik egy KMS-kulcshoz | Az AWS EC2-példányok súlyos biztonsági résekkel rendelkeznek, és IAM-szerepkörrel rendelkeznek, amely engedélyekkel rendelkezik az AWS-kulcskezelő szolgáltatás (KMS) kulcshoz egy IAM-szabályzaton vagy egy AWS-kulcskezelő szolgáltatás (KMS-) szabályzaton keresztül, vagy IAM- és AWS KMS-szabályzaton keresztül. |
Az interneten közzétett EC2-példány súlyos biztonsági rést és nem biztonságos SSH titkos kulcsot használ, amely hitelesítést végezhet egy másik AWS EC2-példányon | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulccsal rendelkezik, amely hitelesítést végezhet egy másik AWS EC2-példányon |
Az internet által közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amelyet egy RDS-erőforrás hitelesítésére használnak | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és egyszerű szöveges SSH titkos kulccsal rendelkezik, amely hitelesíthető egy AWS RDS-erőforrással |
Az EC2-példány magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos egyszerű szöveges titkos kóddal rendelkezik, amelyet egy RDS-erőforrás hitelesítésére használnak | Egy AWS EC2-példány súlyos biztonsági résekkel rendelkezik, és egyszerű szöveges SSH-titkos kulccsal rendelkezik, amely hitelesíthető egy AWS RDS-erőforrással |
Az internet által közzétett AWS EC2-példány magas súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amely IAM-szabályzaton vagy gyűjtőszabályzaton, vagy IAM-szabályzaton és gyűjtőszabályzaton keresztül rendelkezik S3-gyűjtőre vonatkozó engedéllyel. | Az AWS EC2-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, és nem biztonságos titkos kóddal rendelkezik, amely IAM-szabályzaton, gyűjtőszabályzaton vagy mindkettőn keresztül rendelkezik S3-gyűjtőre vonatkozó engedélyekkel |
GCP virtuálisgép-példányok
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az interneten közzétett virtuálisgép-példány súlyos biztonsági résekkel rendelkezik | A(z) "[VMInstanceName]" GCP virtuálisgép-példány elérhető az internetről, és súlyos biztonsági résekkel rendelkezik [Távoli kódvégrehajtás]. |
Az interneten közzétett, nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik egy adattárhoz | A(z) "[VMInstanceName]" GCP virtuálisgép-példány elérhető az internetről, magas súlyosságú biztonsági résekkel[Távoli kódvégrehajtás] rendelkezik, és olvasási engedélyekkel rendelkezik egy adattárhoz. |
Az interneten közzétett, nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik a bizalmas adatokat tartalmazó adattárhoz | A(z) "[VMInstanceName]" GCP virtuálisgép-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik, amelyek lehetővé teszik a távoli kódfuttatást a gépen, és olyan szolgáltatásfiókkal van hozzárendelve, amely olvasási engedéllyel rendelkezik a bizalmas adatokat tartalmazó "[BucketName]" GCP Storage-gyűjtőhöz. |
Az internetről közzétett virtuálisgép-példány súlyos biztonsági résekkel és magas engedélyekkel rendelkezik egy projekthez | A(z) "[VMInstanceName]" GCP virtuálisgép-példány elérhető az internetről, magas súlyosságú biztonsági résekkel rendelkezik[Távoli kódvégrehajtás] és "[Engedélyek]" engedéllyel rendelkezik a(z) "[ProjectName] projekthez". |
Az interneten közzétett, nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik a Secret Managerhez | A(z) "[VMInstanceName]" GCP virtuálisgép-példány elérhető az internetről, nagy súlyosságú biztonsági résekkel rendelkezik[Távoli kódvégrehajtás] és olvasási engedélyekkel rendelkezik az IAM-szabályzaton keresztül a GCP Secret Manager titkos kódjához ([SecretName]). |
Az interneten közzétett virtuálisgép-példány súlyos biztonsági résekkel rendelkezik, és telepített egy üzemeltetett adatbázist | A(z) "[VMInstanceName]" GCP virtuálisgép-példány egy üzemeltetett [DatabaseType] adatbázissal elérhető az internetről, és súlyos biztonsági résekkel rendelkezik. |
Az interneten közzétett, magas súlyosságú biztonsági résekkel rendelkező virtuális gép egyszerű szöveges SSH titkos kulcsával rendelkezik | A(z) "[MachineName]" GCP virtuálisgép-példány elérhető az internetről, magas súlyosságú biztonsági résekkel rendelkezik [Távoli kódvégrehajtás] és egyszerű szöveges SSH titkos kulcsával [SSHPrivateKey]. |
A nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik egy adattárhoz | A(z) "[VMInstanceName]" GCP virtuálisgép-példány súlyos biztonsági résekkel[távoli kódvégrehajtás] rendelkezik, és olvasási engedélyekkel rendelkezik egy adattárhoz. |
A nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik a bizalmas adatokat tartalmazó adattárhoz | A(z) "[VMInstanceName]" GCP virtuálisgép-példány súlyos biztonsági résekkel rendelkezik [Távoli kódvégrehajtás], és olvasási engedélyekkel rendelkezik a bizalmas adatokat tartalmazó "[BucketName]" GCP Storage-gyűjtőhöz. |
A virtuálisgép-példány magas súlyosságú biztonsági résekkel rendelkezik, és magas engedélyekkel rendelkezik egy projekthez | A(z) "[VMInstanceName]" GCP virtuálisgép-példány súlyos biztonsági résekkel[távoli kódvégrehajtás] rendelkezik, és "[Engedélyek]" engedéllyel rendelkezik a(z) "[ProjectName]" projekthez. |
A nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány olvasási engedélyekkel rendelkezik a Secret Managerhez | A(z) "[VMInstanceName]" GCP virtuálisgép-példány magas súlyosságú biztonsági résekkel[Távoli kódvégrehajtás] rendelkezik, és olvasási engedélyekkel rendelkezik az IAM-szabályzaton keresztül a GCP Secret Manager titkos kódjához ([SecretName]). |
A nagy súlyosságú biztonsági résekkel rendelkező virtuálisgép-példány egyszerű szöveges SSH titkos kulcssal rendelkezik | A GCP virtuálisgép-példány az összes többi támadási útvonalhoz igazodik. A(z) [MachineName]" virtuális gép magas súlyosságú biztonsági résekkel rendelkezik [Távoli kód végrehajtása], és egyszerű szöveges SSH titkos kulcssal [SSHPrivateKey] rendelkezik. |
Azure-adatok
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az interneten közzétett SQL virtuális gépen rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a virtuális gépen | A virtuális gépen futó SQL elérhető az internetről, rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (amely hajlamos találgatásos támadásokra), és biztonsági résekkel rendelkezik, amelyek lehetővé teszik a kód végrehajtását és az alapul szolgáló virtuális gép oldalirányú mozgatását. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
Az interneten közzétett SQL a virtuális gépen rendelkezik egy gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkező felhasználói fiókkal | A virtuális gépen futó SQL elérhető az internetről, rendelkezik egy helyi felhasználói fiókkal, egy gyakran használt felhasználónévvel (amely találgatásos támadásokra hajlamos), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
A virtuális gépen futó SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a virtuális gépen | A virtuális gépen futó SQL rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (ami hajlamos találgatásos támadásokra), és biztonsági résekkel rendelkezik, amelyek lehetővé teszik a kódvégrehajtást és az alapul szolgáló virtuális gép oldalirányú áthelyezését. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
A virtuális gépen futó SQL rendelkezik egy felhasználói fiókkal, amely gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkezik | A virtuális gépen futó SQL rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (ami találgatásos támadásokra hajlamos), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
A túlzott internetes kitettséggel rendelkező felügyelt adatbázis lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést | Az adatbázis bármilyen nyilvános IP-címről elérhető az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely találgatásos támadásoknak teszi ki a adatbázist. |
A túlzott internetes kitettséggel és bizalmas adatokkal rendelkező felügyelt adatbázis lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést (előzetes verzió) | Az adatbázis bármilyen nyilvános IP-címről elérhető az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely a bizalmas adatokat tartalmazó adatbázist találgatásos támadásoknak teszi ki. |
Az interneten közzétett felügyelt adatbázis bizalmas adatokkal lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést (előzetes verzió) | Az adatbázis meghatározott IP-címekről vagy IP-tartományokból érhető el az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely a bizalmas adatokat tartalmazó adatbázist találgatásos támadásoknak teszi ki. |
Az interneten közzétett virtuális gép súlyos biztonsági résekkel rendelkezik, és telepített egy üzemeltetett adatbázist (előzetes verzió) | A db-géphez hálózati hozzáféréssel rendelkező támadók kihasználhatják a biztonsági réseket, és távoli kódvégrehajtást érhetnek el. |
Privát Azure Blob Storage-tároló replikálja az adatokat az interneten közzétett és nyilvánosan elérhető Azure Blob Storage-tárolóba | Egy belső Azure Storage-tároló replikálja az adatait egy másik Azure Storage-tárolóba, amely elérhető az internetről, és lehetővé teszi a nyilvános hozzáférést, és kockázatot jelent ezekre az adatokra. |
Az interneten közzétett, bizalmas adatokkal rendelkező Azure Blob Storage-tároló nyilvánosan elérhető | A bizalmas adatokat tartalmazó Blob Storage-fióktároló az internetről érhető el, és engedély nélkül teszi lehetővé a nyilvános olvasási hozzáférést. Előfeltétel: Adatérzékeny biztonság engedélyezése a Tárfiókok számára a Defender CSPM-ben. |
AWS-adatok
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az interneten közzétett, bizalmas adatokkal rendelkező AWS S3-gyűjtő nyilvánosan elérhető | A bizalmas adatokat tartalmazó S3-gyűjtő az internetről érhető el, és engedély nélkül teszi lehetővé a nyilvános olvasási hozzáférést. Előfeltétel: Adatérzékeny biztonság engedélyezése S3-gyűjtőkhöz a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
Az EC2-példányon az internet által közzétett SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a mögöttes számításon | Az EC2-példányon az internet által közzétett SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a mögöttes számításon. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz. |
Az EC2-példányon az internet által közzétett SQL rendelkezik egy gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkező felhasználói fiókkal | Az EC2-példányon futó SQL elérhető az internetről, rendelkezik egy helyi felhasználói fiókkal, egy gyakran használt felhasználónévvel (amely találgatásos támadásokra hajlamos), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
Az EC2-példányon futó SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a mögöttes számításon | Az EC2-példányon futó SQL rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (amely hajlamos találgatásos támadásokra), és biztonsági résekkel rendelkezik, amelyek lehetővé teszik a kód végrehajtását és az alapul szolgáló számítás oldalirányú mozgatását. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
Az EC2-példányon futó SQL rendelkezik egy gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkező felhasználói fiókkal | Az EC2-példányon (EC2Name) található SQL egy helyi felhasználói fiókkal rendelkezik, amely gyakran használt felhasználónévvel rendelkezik (amely találgatásos támadásokra hajlamos), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. Előfeltétel: A Microsoft Defender engedélyezése a gépeken futó SQL-kiszolgálókhoz |
A túlzott internetes kitettséggel rendelkező felügyelt adatbázis lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést | Az adatbázis bármilyen nyilvános IP-címről elérhető az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely találgatásos támadásoknak teszi ki a adatbázist. |
A túlzott internetes kitettséggel és bizalmas adatokkal rendelkező felügyelt adatbázis lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést (előzetes verzió) | Az adatbázis bármilyen nyilvános IP-címről elérhető az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely a bizalmas adatokat tartalmazó adatbázist találgatásos támadásoknak teszi ki. |
Az interneten közzétett felügyelt adatbázis bizalmas adatokkal lehetővé teszi az alapszintű (helyi felhasználó/jelszó) hitelesítést (előzetes verzió) | Az adatbázis meghatározott IP-címekről vagy IP-tartományokból érhető el az interneten keresztül, és lehetővé teszi a felhasználónév és jelszó használatával történő hitelesítést (alapszintű hitelesítési mechanizmus), amely a bizalmas adatokat tartalmazó adatbázist találgatásos támadásoknak teszi ki. |
Az interneten közzétett EC2-példány súlyos biztonsági résekkel rendelkezik, és telepített egy üzemeltetett adatbázist (előzetes verzió) | A db-géphez hálózati hozzáféréssel rendelkező támadók kihasználhatják a biztonsági réseket, és távoli kódvégrehajtást érhetnek el. |
A privát AWS S3-gyűjtő adatokat replikál az interneten közzétett és nyilvánosan elérhető AWS S3-gyűjtőbe | Egy belső AWS S3-gyűjtő replikálja az adatait egy másik S3 gyűjtőbe, amely az internetről érhető el, és lehetővé teszi a nyilvános hozzáférést, és kockázatot jelent ezekre az adatokra. |
Az RDS-pillanatkép nyilvánosan elérhető az összes AWS-fiók számára (előzetes verzió) | Egy RDS-példány vagy -fürt pillanatképe nyilvánosan elérhető az összes AWS-fiók számára. |
Az EC2-példányon az internet által közzétett SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását az alapul szolgáló számításon (előzetes verzió) | Az EC2-példányon futó SQL elérhető az internetről, rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (ami találgatásos támadásokra hajlamos), és biztonsági résekkel rendelkezik, amelyek lehetővé teszik a kód végrehajtását és az alapul szolgáló számítás oldalirányú mozgatását |
Az EC2-példányon az internet által közzétett SQL rendelkezik egy gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkező felhasználói fiókkal (előzetes verzió) | Az EC2-példányon futó SQL elérhető az internetről, rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónevet használ (ami találgatásos támadásokra hajlamos), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. |
Az EC2-példányon futó SQL rendelkezik egy gyakran használt felhasználónévvel rendelkező felhasználói fiókkal, és lehetővé teszi a kód végrehajtását a mögöttes számításon (előzetes verzió) | Az EC2-példányon futó SQL rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (amely hajlamos találgatásos támadásokra), és biztonsági résekkel rendelkezik, amelyek lehetővé teszik a kód végrehajtását és az alapul szolgáló számítás oldalirányú áthelyezését |
Az EC2-példányon futó SQL rendelkezik egy felhasználói fiókkal, amely gyakran használt felhasználónévvel és ismert biztonsági résekkel rendelkezik (előzetes verzió) | Az EC2-példányon futó SQL rendelkezik egy helyi felhasználói fiókkal, amely gyakran használt felhasználónévvel rendelkezik (amely hajlamos találgatásos támadásokra), és ismert biztonsági résekkel (CVE-kkel) rendelkezik. |
A privát AWS S3-gyűjtő adatokat replikál az interneten közzétett és nyilvánosan elérhető AWS S3-gyűjtőbe | A privát AWS S3-gyűjtő adatokat replikál az interneten közzétett és nyilvánosan elérhető AWS S3 gyűjtőbe |
A bizalmas adatokkal rendelkező privát AWS S3-gyűjtő adatokat replikál az interneten közzétett és nyilvánosan elérhető AWS S3-gyűjtőbe | Bizalmas adatokkal rendelkező privát AWS S3-gyűjtő az adatokat az interneten közzétett és nyilvánosan elérhető AWS S3 gyűjtőbe replikálja |
Az RDS-pillanatkép nyilvánosan elérhető az összes AWS-fiók számára (előzetes verzió) | Az RDS-pillanatkép nyilvánosan elérhető az összes AWS-fiók számára |
GCP-adatok
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
A bizalmas adatokat tartalmazó GCP-tároló gyűjtő nyilvánosan elérhető | A bizalmas adatokkal rendelkező GCP Storage Bucket [BucketName] engedély nélkül teszi lehetővé a nyilvános olvasási hozzáférést. |
Azure-tárolók
Előfeltétel: Ügynök nélküli tárolótartás engedélyezése. Ez lehetővé teszi a tárolók adatsík-számítási feladatainak lekérdezését is a Security Explorerben.
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az internet által közzétett Kubernetes-pod RCE biztonsági résekkel rendelkező tárolót futtat | Egy névtérben az interneten közzétett Kubernetes-pod egy tárolót futtat egy olyan rendszerkép használatával, amely biztonsági résekkel rendelkezik, amelyek lehetővé teszik a távoli kódfuttatást. |
Az interneten közzétett csomóponton futó Kubernetes-pod gazdahálózattal futtat egy RCE biztonsági résekkel rendelkező tárolót | A gazdahálózati hozzáféréssel rendelkező névtérben lévő Kubernetes-podok a gazdagéphálózaton keresztül kerülnek az internetre. A pod egy tárolót futtat olyan rendszerkép használatával, amely biztonsági résekkel rendelkezik, amelyek lehetővé teszik a távoli kódfuttatást. |
GitHub-adattárak
Előfeltétel: A Defender engedélyezése a DevOpshoz.
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az internet által közzétett, egyszerű szöveges titkos kóddal ellátott GitHub-adattár nyilvánosan elérhető (előzetes verzió) | A GitHub-adattár elérhető az internetről, engedély nélkül teszi lehetővé a nyilvános olvasási hozzáférést, és egyszerű szöveges titkos kódokat tárol. |
APIs
Előfeltétel: A Defender engedélyezése API-khoz.
Támadási útvonal megjelenítendő neve | Támadási útvonal leírása |
---|---|
Az interneten közzétett, hitelesítés nélküli API-k bizalmas adatokat hordoznak | Az Azure API Management API elérhető az internetről, bizalmas adatokat tartalmaz, és nincs engedélyezve hitelesítés, ami azt eredményezi, hogy a támadók api-kat használnak az adatkiszivárgáshoz. |
Felhőbiztonsági gráf összetevőinek listája
Ez a szakasz felsorolja a felhőbiztonsági gráf összes összetevőjét (kapcsolatokat és elemzéseket), amelyek a felhőbiztonsági kezelővel folytatott lekérdezésekben használhatók.
Elemzések
Elemzések | Leírás | Támogatott entitások |
---|---|---|
Az internethez elérhetővé téve | Azt jelzi, hogy egy erőforrás ki van téve az internetnek. Támogatja a portszűrést. További információ | Azure-beli virtuális gép, AWS EC2, Azure Storage-fiók, Azure SQL Server, Azure Cosmos DB, AWS S3, Kubernetes pod, Azure SQL Managed Instance, Azure MySQL Single Server, Rugalmas Azure MySQL-kiszolgáló, Önálló Azure PostgreSQL-kiszolgáló, Rugalmas Azure PostgreSQL-kiszolgáló, Önálló Azure MariaDB-kiszolgáló, Synapse-munkaterület, RDS-példány, GCP virtuálisgép-példány, GCP SQL-rendszergazdai példány |
Alapszintű hitelesítés engedélyezése (előzetes verzió) | Azt jelzi, hogy egy erőforrás engedélyezi az alapszintű (helyi felhasználó/jelszó vagy kulcsalapú) hitelesítést | Azure SQL Server, RDS-példány, Önálló Azure MariaDB-kiszolgáló, önálló Azure MySQL-kiszolgáló, rugalmas Azure MySQL-kiszolgáló, Synapse-munkaterület, Önálló Azure PostgreSQL-kiszolgáló, felügyelt Azure SQL-példány |
Bizalmas adatokat tartalmaz Előfeltétel: Adatérzékeny biztonság engedélyezése a tárfiókok számára a Defender CSPM-ben, vagy Microsoft Purview Adatkatalógus használata a bizalmas adatok védelméhez. |
Azt jelzi, hogy egy erőforrás bizalmas adatokat tartalmaz. | MDC bizalmas adatfelderítés: Azure Storage-fiók, Azure Storage-fióktároló, AWS S3-gyűjtő, Azure SQL Server (előzetes verzió), Azure SQL Database (előzetes verzió), RDS-példány (előzetes verzió), RDS-példány adatbázisa (előzetes verzió), RDS-fürt (előzetes verzió) Purview Bizalmas adatok felderítése (előzetes verzió): Azure Storage-fiók, Azure Storage-fióktároló, AWS S3-gyűjtő, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, Azure Cosmos DB-fiókok, GCP felhőtároló gyűjtő |
Adatok áthelyezése (előzetes verzió) | Azt jelzi, hogy egy erőforrás átviszi az adatait egy másik erőforrásba | Tárfiók tárolója, AWS S3, AWS RDS-példány, AWS RDS-fürt |
Adatok lekérdezéséből (előzetes verzió) | Azt jelzi, hogy egy erőforrás egy másik erőforrásból szerzi be az adatait | Tárfiók tárolója, AWS S3, AWS RDS-példány, AWS RDS-fürt |
Címkéket tartalmaznak | A felhőbeli erőforrás erőforráscímkék felsorolása | Minden Azure-, AWS- és GCP-erőforrás |
Telepített szoftver | A gépen telepített összes szoftver listája. Ez a megállapítás csak azokra a virtuális gépekre vonatkozik, amelyek Veszélyforrás- és biztonságirés-kezelés Felhőhöz készült Defender-integrációval rendelkeznek, és csatlakoznak Felhőhöz készült Defender. | Azure-beli virtuális gép, AWS EC2 |
Nyilvános hozzáférés engedélyezése | Azt jelzi, hogy a nyilvános olvasási hozzáférés engedélyezve van az erőforráshoz, és nincs szükség engedélyre. További információ | Azure Storage-fiók, AWS S3-gyűjtő, GitHub-adattár, GCP felhőalapú tároló gyűjtő |
Nincs engedélyezve az MFA | Azt jelzi, hogy a felhasználói fiók nem rendelkezik engedélyezve többtényezős hitelesítési megoldással | Microsoft Entra felhasználói fiók, IAM-felhasználó |
Külső felhasználó | Azt jelzi, hogy a felhasználói fiók kívül esik a szervezet tartományán | Microsoft Entra felhasználói fiók |
Felügyelt | Azt jelzi, hogy egy identitást a felhőszolgáltató felügyel | Felügyelt Azure-identitás |
Gyakori felhasználóneveket tartalmaz | Azt jelzi, hogy az SQL Server olyan felhasználói fiókokkal rendelkezik, amelyek gyakran használnak felhasználóneveket, amelyek hajlamosak találgatásos támadásokra. | SQL virtuális gép, Arc-kompatibilis SQL virtuális gép |
Kódot futtathat a gazdagépen | Azt jelzi, hogy egy SQL-kiszolgáló lehetővé teszi a kód végrehajtását a mögöttes virtuális gépen egy beépített mechanizmussal, például xp_cmdshell. | SQL virtuális gép, Arc-kompatibilis SQL virtuális gép |
Biztonsági résekkel rendelkezik | Azt jelzi, hogy az erőforrás SQL-kiszolgálója biztonsági réseket észlelt | SQL virtuális gép, Arc-kompatibilis SQL virtuális gép |
DEASM-eredmények | Microsoft Defender külső támadásifelület-kezelő (DEASM) internetes vizsgálat eredményei | Nyilvános IP-cím |
Emelt szintű tároló | Azt jelzi, hogy egy Kubernetes-tároló emelt szintű módban fut | Kubernetes-tároló |
Gazdagéphálózatot használ | Azt jelzi, hogy egy Kubernetes-pod a gazdagép hálózati névterét használja | Kubernetes pod |
Magas súlyosságú biztonsági résekkel rendelkezik | Azt jelzi, hogy egy erőforrás súlyos biztonsági résekkel rendelkezik | Azure-beli virtuális gép, AWS EC2, tárolórendszerkép, GCP virtuálisgép-példány |
Sebezhető a távoli kódvégrehajtással szemben | Azt jelzi, hogy egy erőforrás biztonsági résekkel rendelkezik, amelyek lehetővé teszik a távoli kódfuttatást | Azure-beli virtuális gép, AWS EC2, tárolórendszerkép, GCP virtuálisgép-példány |
Nyilvános IP-metaadatok | Nyilvános IP-cím metaadatainak listázása | Nyilvános IP-cím |
Identitás metaadatai | Egy identitás metaadatainak listája | Microsoft Entra Identitás |
Kapcsolatok
Kapcsolat | Leírás | Forrásentitások típusai | Cél entitástípusok |
---|---|---|---|
Hitelesítés a következőképpen: | Azt jelzi, hogy egy Azure-erőforrás hitelesítést végezhet egy identitáson, és használhatja a jogosultságait | Azure-beli virtuális gép, Azure VMSS, Azure Storage-fiók, Azure-alkalmazás-szolgáltatások, SQL-kiszolgálók | Microsoft Entra által felügyelt identitás |
Rendelkezik engedéllyel | Azt jelzi, hogy egy identitás rendelkezik erőforrásra vagy erőforráscsoportra vonatkozó engedélyekkel | Microsoft Entra felhasználói fiók, Felügyelt identitás, IAM-felhasználó, EC2-példány | Minden Azure AWS-erőforrás & |
Contains | Azt jelzi, hogy a forrás entitás tartalmazza a célentitást | Azure-előfizetés, Azure-erőforráscsoport, AWS-fiók, Kubernetes-névtér, Kubernetes-pod, Kubernetes-fürt, GitHub-tulajdonos, Azure DevOps-projekt, Azure DevOps-szervezet, Azure SQL Server, RDS-fürt, RDS-példány, GCP-projekt, GCP-mappa, GCP-szervezet | Minden Azure-, AWS- és GCP-erőforrás, Minden Kubernetes-entitás, Minden DevOps-entitás, Azure SQL-adatbázis, RDS-példány, RDS-példány adatbázisa |
Forgalom átirányítása | Azt jelzi, hogy a forrás entitás átirányíthatja a hálózati forgalmat a cél entitáshoz | Nyilvános IP-cím, Load Balancer, VNET, Alhálózat, VPC, Internet Gateway, Kubernetes szolgáltatás, Kubernetes pod | Azure-beli virtuális gép, Azure VMSS, AWS EC2, Alhálózat, Load Balancer, Internetes átjáró, Kubernetes pod, Kubernetes szolgáltatás, GCP virtuálisgép-példány, GCP-példánycsoport |
Fut | Azt jelzi, hogy a forrás entitás folyamatként futtatja a célentitást | Azure-beli virtuális gép, EC2, Kubernetes-tároló | SQL, Arc-enabled SQL, Hosted MongoDB, Hosted MySQL, Hosted Oracle, Hosted PostgreSQL, Hosted SQL Server, Container Image, Kubernetes pod |
A | Azt jelzi, hogy a forrásidentitás a célidentitáscsoport tagja | Microsoft Entra group, Microsoft Entra user | Microsoft Entra-csoport |
Fenntartja | Azt jelzi, hogy a forrás Kubernetes-entitás kezeli a megcélzott Kubernetes-entitás életciklusát | Kubernetes számítási feladatvezérlő, Kubernetes replikakészlet, Kubernetes stateful set, Kubernetes démonkészlet, Kubernetes-feladatok, Kubernetes cron-feladat | Kubernetes pod |