Azure Security Center でのデータ サービスの脅威検出Threat detection for data services in Azure Security Center

Azure Security Center では、データ ストレージ サービスのログが分析され、データ リソースへの脅威が検出されると、アラートがトリガーされます。Azure Security Center analyzes the logs of data storage services, and triggers alerts when it detects a threat to your data resources. この記事では、Security Center が次のサービスに対して生成するアラートの一覧を示します。This article lists the alerts that Security Center generates for the following services:

SQL Database と SQL Data Warehouse SQL Database and SQL Data Warehouse

SQL の脅威の検出により、データベースへのアクセスやデータベースの悪用を試みる、異常で有害と考えられる不自然な動作が識別されます。SQL threat detection identifies anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

アラート:Alert 説明Description
Vulnerability to SQL injection (SQL インジェクションにつながる脆弱性)Vulnerability to SQL injection アプリケーションにより、データベースでエラーのある SQL ステートメントが生成されました。An application has generated a faulty SQL statement in the database. これは、SQL インジェクション攻撃に対する脆弱性があることを示している可能性があります。This can indicate a possible vulnerability to SQL injection attacks. エラーのあるステートメントの理由としては、次の 2 つが考えられます。There are two possible reasons for a faulty statement. アプリケーション コードの欠陥により、エラーのある SQL ステートメントが作成された可能性がある。A defect in application code might have constructed the faulty SQL statement. または、アプリケーション コードまたはストアド プロシージャでユーザー入力がサニタイズされず、エラーのある SQL ステートメントが作成され、SQL インジェクションに悪用される可能性がある。Or, application code or stored procedures didn't sanitize user input when constructing the faulty SQL statement, which can be exploited for SQL injection.
SQL インジェクションの可能性Potential SQL injection SQL インジェクションに脆弱な特定されたアプリケーションに対してアクティブな悪用が発生しました。An active exploit has occurred against an identified application vulnerable to SQL injection. これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して、悪意のある SQL ステートメントを挿入しようとしていることを意味します。This means an attacker is trying to inject malicious SQL statements by using the vulnerable application code or stored procedures.
Access from unusual location (通常とは異なる場所からのアクセス)Access from unusual location SQL Server へのアクセス パターンに変化があり、何者かが通常とは異なる地理的な場所からサーバーにサインインしました。There has been a change in the access pattern to SQL Server, where someone has signed in to the server from an unusual geographical location. このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。In some cases, the alert detects a legitimate action (a new application or developer maintenance). 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。In other cases, the alert detects a malicious action (a former employee or external attacker).
Access from unfamiliar principal (通常とは異なるプリンシパルからのアクセス)Access from unfamiliar principal SQL Server へのアクセス パターンに変化がありました。There has been a change in the access pattern to SQL Server. 何者かが、通常とは異なるプリンシパル (ユーザー) を使用してサーバーにサインインしました。Someone has signed in to the server by using an unusual principal (user). このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。In some cases, the alert detects a legitimate action (a new application or developer maintenance). 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。In other cases, the alert detects a malicious action (a former employee or external attacker).
Access from a potentially harmful application (潜在的に有害なアプリケーションからのアクセス)Access from a potentially harmful application データベースにアクセスするために、有害な可能性があるアプリケーションが使用されました。A potentially harmful application has been used to access the database. このアラートで実行中の侵入テストが検出されることがあります。In some cases, the alert detects penetration testing in action. 別のケースでは、このアラートで一般的なツールを使用した攻撃が検出されます。In other cases, the alert detects an attack that uses common tools.
Brute force SQL credentials (SQL 資格情報に対するブルート フォース攻撃)Brute force SQL credentials 異なる資格情報を使用したサインインの失敗が異常に多く発生しました。An abnormally high number of failed sign-ins with different credentials have occurred. このアラートで実行中の侵入テストが検出されることがあります。In some cases, the alert detects penetration testing in action. このアラートでブルート フォース攻撃が検出されることもあります。In other cases, the alert detects a brute force attack.

SQL 脅威検出アラートの詳細については、Azure SQL Database の脅威の検出に関する記事を参照してください。For more information about SQL threat detection alerts, see Azure SQL Database threat detection. 特に、脅威検出アラートに関するセクションをご覧ください。In particular, review the threat detection alerts section. また、Azure Security Center の支援でサイバー攻撃がどのように明らかにされるかについて参照し、Security Center で悪意のある SQL アクティビティ検出を使用して攻撃を検出した例を確認してください。Also see How Azure Security Center helps reveal a cyberattack to view an example of how Security Center used malicious SQL activity detection to discover an attack.

Azure Storage Azure Storage

注意

Advanced Threat Protection for Storage は、現時点では Blob Storage でのみ使用できます。Advanced Threat Protection for Storage is currently available for Blob storage only.

Advanced Threat Protection for Storage にセキュリティ インテリジェンスの層が追加され、ストレージ アカウントにアクセスまたは悪用する、通常とは異なる潜在的に有害な試行が検出されます。Advanced Threat Protection for Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. この保護層により、セキュリティの専門家でなくても脅威に対処し、セキュリティ監視システムを管理できます。This layer of protection allows you to address threats without requiring you to be a security expert, and to manage security monitoring systems.

Security Center では、脅威を検出するために、BLOB ストレージに対する読み取り、書き込み、および削除要求の診断ログが分析され、アクティビティに異常がある場合にはアラートがトリガーされます。Security Center analyzes diagnostic logs of read, write, and delete requests to Blob storage to detect threats, and it triggers alerts when anomalies in activity occur. 詳細については、Storage Analytics ログの構成に関するページを参照してください。For more information, see Configure Storage Analytics logging.

アラート:Alert 説明Description
Access from unusual location (通常とは異なる場所からのアクセス)Access from unusual location Azure Storage アカウントへのアクセス パターンに変化があったことを示しています。Indicates that there was a change in the access pattern to an Azure Storage account. 最近のアクティビティと比較して見慣れない IP アドレスから誰かがこのアカウントにアクセスしました。Someone has accessed this account from an IP address considered unfamiliar when compared with recent activity. 攻撃者がアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。Either an attacker has gained access to the account, or a legitimate user has connected from a new or unusual geographic location. 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。An example of the latter is remote maintenance from a new application or developer.
Application access anomaly (アプリケーションによる異常なアクセス)Application access anomaly 通常とは異なるアプリケーションがこのストレージ アカウントにアクセスしたことを示します。Indicates that an unusual application has accessed this storage account. 原因として考えられるのは、攻撃者が新しいアプリケーションを使用して、ご自分のストレージ アカウントにアクセスしたことです。A potential cause is that an attacker has accessed your storage account by using a new application.
Anonymous access anomaly (匿名での異常なアクセス)Anonymous access anomaly ストレージ アカウントへのアクセス パターンに変化が生じたことを示します。Indicates that there is a change in the access pattern to a storage account. たとえば、アカウントへの匿名 (認証なし) アクセスがあり、それがこのアカウントでの最近のアクセス パターンと比較して予測外である場合などです。For instance, the account has been accessed anonymously (without any authentication), which is unexpected compared to the recent access pattern on this account. 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーへのパブリック読み取りアクセスを悪用したことです。A potential cause is that an attacker has exploited public read access to a container that holds blob storage.
Tor 異常Tor Anomaly このアカウントが Tor (匿名化プロキシ) のアクティブな出口ノードとして知られている IP アドレスから正常にアクセスされていることを示します。Indicates that this account has been accessed successfully from an IP address that is known as an active exit node of Tor (an anonymizing proxy). このアラートの重大度では、使用された認証の種類 (ある場合) と、これがそのようなアクセスの最初のケースであるかどうかが考慮されます。The severity of this alert considers the authentication type used (if any), and whether this is the first case of such access. 原因として考えられるのは、攻撃者が Tor を使用して、ご自分のストレージ アカウントにアクセスした、あるいは正当なユーザーが Tor を使用して、ご利用のストレージ アカウントにアクセスしたことです。Potential causes can be an attacker who has accessed your storage account by using Tor, or a legitimate user who has accessed your storage account by using Tor.
Data Exfiltration anomaly (データの異常な抜き取り)Data Exfiltration anomaly このストレージ コンテナーの最近のアクティビティと比較して、異常に大量のデータが抽出されたことを示します。Indicates that an unusually large amount of data has been extracted compared to recent activity on this storage container. 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーから大量のデータを抽出したことです。A potential cause is that an attacker has extracted a large amount of data from a container that holds blob storage.
Unexpected delete anomaly (予期しない異常な削除)Unexpected delete anomaly このストレージ アカウントでの最近のアクティビティと比較して、アカウントで予期しない 1 つ以上の削除操作が発生したことを示します。Indicates that one or more unexpected delete operations has occurred in a storage account, compared to recent activity on this account. 原因として考えられるのは、攻撃者がストレージ アカウントからデータを削除したことです。A potential cause is that an attacker has deleted data from your storage account.
Upload Azure Cloud Services package (Azure クラウド サービス パッケージのアップロード)Upload Azure Cloud Services package Azure Cloud Services パッケージ (.cspkg ファイル) が、このアカウントでの最近のアクティビティと比較して、通常と異なる方法でストレージ アカウントにアップロードされたことを示します。Indicates that an Azure Cloud Services package (.cspkg file) has been uploaded to a storage account in an unusual way, compared to recent activity on this account. 原因として考えられるのは、攻撃者が、ストレージ アカウントから Azure クラウド サービスに悪意のあるコードをデプロイしようとしていたことです。A potential cause is that an attacker has been preparing to deploy malicious code from your storage account to an Azure cloud service.
Permission access anomaly (アクセス許可の異常なアクセス)Permission access anomaly このストレージ コンテナーのアクセス許可が通常と異なる方法で変更されたことを示します。Indicates that the access permissions of this storage container have been changed in an unusual way. 原因として考えられるのは、攻撃者がコンテナーのアクセス許可を変更して、そのセキュリティ体制を弱めたり、持続性を獲得したことです。A potential cause is that an attacker has changed container permissions to weaken its security posture or to gain persistence.
Inspection access anomaly (検査の異常なアクセス)Inspection access anomaly ストレージ アカウントのアクセス許可が、このアカウントでの最近のアクティビティと比較して、通常とは異なる方法で検査されたことを示します。Indicates that the access permissions of a storage account have been inspected in an unusual way, compared to recent activity on this account. 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。A potential cause is that an attacker has performed reconnaissance for a future attack.
Data Exploration anomaly (データの異常な探索)Data Exploration anomaly ストレージ アカウント内の BLOB またはコンテナーが、このアカウントでの最近のアクティビティと比較して、通常と異なる方法で列挙されたことを示します。Indicates that blobs or containers in a storage account have been enumerated in an abnormal way, compared to recent activity on this account. 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。A potential cause is that an attacker has performed reconnaissance for a future attack.
Potential Malware Upload (マルウェアがアップロードされた可能性)Potential Malware Upload マルウェアを含んだ BLOB がストレージ アカウントにアップロードされた可能性があることを示します。Indicates that a blob containing potential malware has been uploaded to a storage account. 原因としては、攻撃者が意図的にマルウェアをアップロードするケースと、正当なユーザーが意図せず悪意のある BLOB をアップロードしてしまうケースが考えられます。Potential causes may include an intentional malware upload by an attacker or an unintentional upload, of a potentially malicious blob, by a legitimate user.

注意

Advanced Threat Protection for Storage は、現在、Azure Government およびソブリン クラウドのリージョンでは使用できません。Advanced Threat Protection for Storage is currently not available in Azure government and sovereign cloud regions.

ストレージのアラートの詳細については、Advanced Threat Protection for Azure Storageに関する記事を参照してください。For more information about the alerts for storage, see Advanced Threat Protection for Azure Storage. 特に、「保護アラート」セクションをご覧ください。In particular, review the "Protection alerts" section.

Azure Cosmos DBAzure Cosmos DB

次のアラートは、Azure Cosmos DB アカウントに対して、通常と異なる潜在的に有害なアクセスやエクスプロイトが試行されると生成されます。The following alerts are generated by unusual and potentially harmful attempts to access or exploit Azure Cosmos DB accounts:

アラート:Alert 説明Description
通常と異なる場所からのアクセスAccess from unusual location Azure Cosmos DB アカウントへのアクセス パターンに変化があったことを示します。Indicates that there was a change in the access pattern to an Azure Cosmos DB account. 最近のアクティビティと比較して、誰かが未知の IP アドレスからこのアカウントにアクセスしました。Someone has accessed this account from an unfamiliar IP address, compared to recent activity. 攻撃者がアカウントにアクセスしてたか、あるいは正当なユーザーが通常と異なる新しい地理的場所からアカウントにアクセスしました。Either an attacker has accessed the account, or a legitimate user has accessed it from a new and unusual geographical location. 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。An example of the latter is remote maintenance from a new application or developer.
通常と異なるデータの流出Unusual  data exfiltration Azure Cosmos DB アカウントからのデータ抽出パターンに変化があったことを示します。Indicates that there was a change in the data extraction pattern from an Azure Cosmos DB account. 最近のアクティビティと比較して、誰かが通常と異なる量のデータを抽出しました。Someone has extracted an unusual amount of data compared to recent activity. 攻撃者が、Azure Cosmos DB データベースから大量のデータを抽出した可能性があります (たとえば、データの窃盗や漏えい、データの不正な転送など)。An attacker might have extracted a large amount of data from an Azure Cosmos DB database (for example, data exfiltration or leakage, or an unauthorized transfer of data). あるいは、正当なユーザーまたはアプリケーションによって、コンテナーから通常とは異なる量のデータが抽出された可能性もあります (メンテナンス バックアップ アクティビティの場合など)。Or, a legitimate user or application might have extracted an unusual amount of data from a container (for example, for maintenance backup activity).

詳細については、「Azure Cosmos DB の Advanced Threat Protection」を参照してください。For more information, see Advanced Threat Protection for Azure Cosmos DB.