Referentielijst met aanvalspaden en cloudbeveiligingsgrafiekonderdelen
Dit artikel bevat de aanvalspaden, verbindingen en inzichten die worden gebruikt in Defender Cloud Security Posture Management (CSPM).
- U moet Defender CSPM inschakelen om aanvalspaden weer te geven.
- Wat u in uw omgeving ziet, is afhankelijk van de resources die u beveiligt en uw aangepaste configuratie.
Meer informatie over de grafiek voor cloudbeveiliging, analyse van aanvalspaden en cloudbeveiligingsverkenner.
Aanvalspaden
Azure-VM's
Vereiste: Zie de beschikbaarheidstabel voor aanvalspaden voor een lijst met vereisten.
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Op internet blootgestelde VM's hebben beveiligingsproblemen met hoge ernst | Een virtuele machine is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst. |
| Op internet blootgestelde VM heeft beveiligingsproblemen met hoge ernst en hoge machtigingen voor een abonnement | Een virtuele machine is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en identiteit en machtigingen voor een abonnement. |
| Op internet blootgestelde VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief met gevoelige gegevens | Een virtuele machine is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief met gevoelige gegevens. Vereiste: schakel gegevensbewuste beveiliging in voor opslagaccounts in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
| Internet blootgestelde VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief | Een virtuele machine is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief. |
| Internet blootgestelde VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een Key Vault | Een virtuele machine is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een sleutelkluis. |
| VM heeft beveiligingsproblemen met hoge ernst en hoge machtigingen voor een abonnement | Een virtuele machine heeft beveiligingsproblemen met hoge ernst en heeft hoge machtigingen voor een abonnement. |
| VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief met gevoelige gegevens | Een virtuele machine heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief met gevoelige gegevens. Vereiste: schakel gegevensbewuste beveiliging in voor opslagaccounts in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
| VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een sleutelkluis | Een virtuele machine heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een sleutelkluis. |
| VM heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief | Een virtuele machine heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een gegevensarchief. |
| Op internet blootgestelde VM heeft een beveiligingsprobleem met hoge ernst en een onveilige persoonlijke SSH-sleutel die kan worden geverifieerd bij een andere VM | Een virtuele Azure-machine is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een ander AWS EC2-exemplaar |
| Internet-blootgestelde VM heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim dat wordt gebruikt voor verificatie bij een SQL-server | Een virtuele Azure-machine is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een SQL-server |
| VM heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim dat wordt gebruikt voor verificatie bij een SQL-server | Een virtuele Azure-machine heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een SQL-server |
| VM heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim zonder opmaak dat wordt gebruikt om te verifiëren bij het opslagaccount | Een virtuele Azure-machine heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een Azure-opslagaccount |
| Internet blootgestelde VM heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim dat wordt gebruikt om te verifiëren bij het opslagaccount | Een virtuele Azure-machine is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een geheim dat kan worden geverifieerd bij een Azure-opslagaccount |
AWS EC2-exemplaren
Vereiste: scannen zonder agent inschakelen.
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en hoge machtigingen voor een account | Een AWS EC2-exemplaar is bereikbaar via internet, heeft beveiligingsproblemen met hoge ernst en is gemachtigd voor een account. |
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een DB | Een AWS EC2-exemplaar is bereikbaar via internet, heeft beveiligingsproblemen met hoge ernst en is gemachtigd voor een database. |
| Ec2-exemplaar met een hoge ernst en leesmachtigingen voor S3-buckets heeft een hoge ernst | Een AWS EC2-exemplaar is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die is gekoppeld aan een S3-bucket via een IAM-beleid of via een bucketbeleid, of via zowel een IAM-beleid als een bucketbeleid. |
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een S3-bucket met gevoelige gegevens | Een AWS EC2-exemplaar is bereikbaar vanaf internet heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die is gekoppeld aan een S3-bucket met gevoelige gegevens via een IAM-beleid of via een bucketbeleid, of via zowel een IAM-beleid als bucketbeleid. Vereiste: schakel gegevensbewuste beveiliging in voor S3-buckets in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en leesmachtigingen voor een KMS | Een AWS EC2-exemplaar is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die is gekoppeld aan een AWS Key Management Service (KMS) via een IAM-beleid of via een KMS-beleid (AWS Key Management Service), of via zowel een IAM-beleid als een AWS KMS-beleid. |
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst | Een AWS EC2-exemplaar is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst. |
| EC2-exemplaar met beveiligingsproblemen met hoge ernst heeft machtigingen met hoge bevoegdheden voor een account | Een AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft machtigingen voor een account. |
| EC2-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een gegevensarchief | Een AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die wordt verleend met machtigingen voor een S3-bucket via een IAM-beleid of via een bucketbeleid, of via zowel een IAM-beleid als een bucketbeleid. |
| EC2-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een gegevensarchief met gevoelige gegevens | Een AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die wordt verleend met machtigingen voor een S3-bucket met gevoelige gegevens via een IAM-beleid of via een bucketbeleid, of via zowel een IAM- als bucketbeleid. Vereiste: schakel gegevensbewuste beveiliging in voor S3-buckets in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
| EC2-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een KMS-sleutel | Een AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft een IAM-rol die wordt verleend met machtigingen voor een KMS-sleutel (AWS Key Management Service) via een IAM-beleid of via een KMS-beleid (AWS Key Management Service), of via zowel een IAM- als AWS KMS-beleid. |
| Het EC2-exemplaar met internet heeft een beveiligingsprobleem met hoge ernst en een onveilige persoonlijke SSH-sleutel die kan worden geverifieerd bij een ander AWS EC2-exemplaar | Een AWS EC2-exemplaar is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een ander AWS EC2-exemplaar |
| Het EC2-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim dat wordt gebruikt voor verificatie bij een RDS-resource | Een AWS EC2-exemplaar is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een AWS RDS-resource |
| EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim zonder opmaak dat wordt gebruikt om te verifiëren bij een RDS-resource | Een AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft een persoonlijke SSH-sleutel zonder opmaak die kan worden geverifieerd bij een AWS RDS-resource |
| Internet blootgesteld AWS EC2-exemplaar heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim dat is gemachtigd voor S3-bucket via een IAM-beleid, of via een bucketbeleid, of via zowel een IAM-beleid als een bucketbeleid. | Een AWS EC2-exemplaar is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst en heeft onveilig geheim met machtigingen voor S3-buckets via een IAM-beleid, een bucketbeleid of beide |
GCP VM-exemplaren
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Het vm-exemplaar met internet heeft beveiligingsproblemen met hoge ernst | GCP VM-exemplaar [VMInstanceName] is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst [Uitvoering van externe code]. |
| Een VM-exemplaar met hoge ernst heeft leesmachtigingen voor een gegevensarchief | GCP VM-exemplaar [VMInstanceName] is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft leesmachtigingen voor een gegevensarchief. |
| Een VM-exemplaar met hoge ernst heeft leesmachtigingen voor een gegevensarchief met gevoelige gegevens | GCP VM-exemplaar [VMInstanceName] is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst, waardoor externe code kan worden uitgevoerd op de computer en is toegewezen met serviceaccount met leesmachtigingen voor GCP Storage-bucket [BucketName]' met gevoelige gegevens. |
| Het vm-exemplaar met internet heeft beveiligingsproblemen met hoge ernst en hoge machtigingen voor een project | GCP VM-exemplaar [VMInstanceName] is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft de machtiging [Machtigingen]voor project '[ProjectName]'. |
| Een VM-exemplaar met hoge ernst heeft leesmachtigingen voor een Secret Manager | GCP VM-exemplaar [VMInstanceName] is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft leesmachtigingen via IAM-beleid voor het geheim van GCP Secret Manager '[SecretName]'. |
| In internet blootgestelde VM-exemplaren zijn beveiligingsproblemen met hoge ernst en een gehoste database geïnstalleerd | GCP VM-exemplaar [VMInstanceName]' met een gehoste [DatabaseType]-database is bereikbaar vanaf internet en heeft beveiligingsproblemen met hoge ernst. |
| Op internet blootgestelde VM met beveiligingsproblemen met hoge ernst heeft persoonlijke SSH-sleutel zonder opmaak | GCP VM-exemplaar [MachineName] is bereikbaar vanaf internet, heeft beveiligingsproblemen met hoge ernst [Uitvoering van externe code] en heeft persoonlijke SSH-sleutel zonder opmaak [SSHPrivateKey]. |
| VM-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een gegevensarchief | GCP VM-exemplaar [VMInstanceName] heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft leesmachtigingen voor een gegevensarchief. |
| VM-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een gegevensarchief met gevoelige gegevens | GCP VM-exemplaar [VMInstanceName] heeft beveiligingsproblemen met hoge ernst [Uitvoering van externe code] en heeft leesmachtigingen voor GCP-opslagbucket [BucketName]' met gevoelige gegevens. |
| VM-exemplaar heeft beveiligingsproblemen met hoge ernst en hoge machtigingen voor een project | GCP VM-exemplaar [VMInstanceName]' heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft de machtiging [Machtigingen] voor project [ProjectName]. |
| VM-exemplaar met beveiligingsproblemen met hoge ernst heeft leesmachtigingen voor een Secret Manager | GCP VM-exemplaar [VMInstanceName]' heeft beveiligingsproblemen met hoge ernst[Uitvoering van externe code] en heeft leesmachtigingen via IAM-beleid voor het geheim van GCP Secret Manager '[SecretName]'. |
| VM-exemplaar met beveiligingsproblemen met hoge ernst heeft een persoonlijke SSH-sleutel zonder opmaak | GCP VM-exemplaar om af te stemmen op alle andere aanvalspaden. Virtuele machine [MachineName]' heeft beveiligingsproblemen met hoge ernst [Uitvoering van externe code] en heeft persoonlijke SSH-sleutel zonder opmaak [SSHPrivateKey]. |
Azure-gegevens
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Sql op internet beschikbaar gesteld op vm heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de VIRTUELE machine | SQL op VM is bereikbaar vanaf internet, heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft beveiligingsproblemen waardoor code-uitvoering en zijdelingse verplaatsing naar de onderliggende VM mogelijk zijn. Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| SQL op vm met internet beschikbaar gemaakt heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen | SQL op VM is bereikbaar vanaf internet, heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's). Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| SQL op VM heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de VIRTUELE machine | SQL op VM heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft beveiligingsproblemen waarmee code-uitvoering en zijwaartse verplaatsing naar de onderliggende VM mogelijk zijn. Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| SQL op VM heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen | SQL op VM heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's). Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| Beheerde database met overmatige blootstelling aan internet maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk | De database kan worden geopend via internet vanaf elk openbaar IP-adres en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee de database wordt blootgesteld aan beveiligingsaanvallen. |
| Beheerde database met overmatige blootstelling aan internet en gevoelige gegevens maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk (preview) | De database kan worden geopend via internet vanaf elk openbaar IP-adres en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee een database met gevoelige gegevens wordt blootgesteld aan beveiligingsaanvallen. |
| Door internet blootgestelde beheerde database met gevoelige gegevens maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk (preview) | De database kan worden geopend via internet vanaf specifieke IP-adressen of IP-bereiken en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee een database met gevoelige gegevens wordt blootgesteld aan beveiligingsaanvallen. |
| Op internet blootgestelde VM's zijn beveiligingsproblemen met hoge ernst en een gehoste database geïnstalleerd (preview) | Een aanvaller met netwerktoegang tot de DB-machine kan misbruik maken van de beveiligingsproblemen en externe code-uitvoering krijgen. |
| Persoonlijke Azure Blob Storage-container repliceert gegevens naar openbaar en openbaar toegankelijke Azure Blob Storage-container | Een interne Azure Storage-container repliceert de gegevens naar een andere Azure-opslagcontainer die bereikbaar is vanaf internet en openbare toegang toestaat en deze gegevens risico lopen. |
| Azure Blob Storage-container met gevoelige gegevens is openbaar toegankelijk | Een blob storage-accountcontainer met gevoelige gegevens is bereikbaar vanaf internet en staat openbare leestoegang toe zonder dat hiervoor autorisatie is vereist. Vereiste: Gegevensbewuste beveiliging inschakelen voor opslagaccounts in Defender CSPM. |
AWS-gegevens
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Internet blootgestelde AWS S3 Bucket met gevoelige gegevens is openbaar toegankelijk | Een S3-bucket met gevoelige gegevens is bereikbaar vanaf internet en staat openbare leestoegang toe zonder dat hiervoor autorisatie is vereist. Vereiste: schakel gegevensbewuste beveiliging in voor S3-buckets in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
| SQL op internet beschikbaar gesteld op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de onderliggende rekenkracht | Sql op internet beschikbaar gesteld op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de onderliggende berekening. Vereiste: Schakel Microsoft Defender voor SQL-servers in op computers. |
| SQL op internet beschikbaar gesteld op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen | SQL on EC2-exemplaar is bereikbaar vanaf internet, heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's). Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| SQL on EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de onderliggende berekening | SQL op EC2-exemplaar heeft een lokaal gebruikersaccount met een veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft beveiligingsproblemen waardoor code-uitvoering en laterale verplaatsing naar de onderliggende berekening mogelijk zijn. Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| SQL op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen | SQL on EC2 instance [EC2Name] heeft een lokaal gebruikersaccount met veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's). Vereiste: Microsoft Defender voor SQL-servers inschakelen op computers |
| Beheerde database met overmatige blootstelling aan internet maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk | De database kan worden geopend via internet vanaf elk openbaar IP-adres en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee de database wordt blootgesteld aan beveiligingsaanvallen. |
| Beheerde database met overmatige blootstelling aan internet en gevoelige gegevens maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk (preview) | De database kan worden geopend via internet vanaf elk openbaar IP-adres en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee een database met gevoelige gegevens wordt blootgesteld aan beveiligingsaanvallen. |
| Door internet blootgestelde beheerde database met gevoelige gegevens maakt basisverificatie (lokale gebruiker/wachtwoord) mogelijk (preview) | De database kan worden geopend via internet vanaf specifieke IP-adressen of IP-bereiken en staat verificatie toe met behulp van gebruikersnaam en wachtwoord (basisverificatiemechanisme) waarmee een database met gevoelige gegevens wordt blootgesteld aan beveiligingsaanvallen. |
| In internet blootgestelde EC2-instantie zijn beveiligingsproblemen met hoge ernst en een gehoste database geïnstalleerd (preview) | Een aanvaller met netwerktoegang tot de DB-machine kan misbruik maken van de beveiligingsproblemen en externe code-uitvoering krijgen. |
| Persoonlijke AWS S3-bucket repliceert gegevens naar openbaar en openbaar toegankelijke AWS S3-bucket | Een interne AWS S3-bucket repliceert de gegevens naar een andere S3-bucket die bereikbaar is vanaf internet en openbare toegang toestaat en deze gegevens in gevaar brengt. |
| RDS-momentopname is openbaar beschikbaar voor alle AWS-accounts (preview) | Een momentopname van een RDS-exemplaar of -cluster is openbaar toegankelijk voor alle AWS-accounts. |
| SQL op INTERNET beschikbaar gesteld op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de onderliggende rekenkracht (preview) | SQL on EC2-exemplaar is bereikbaar vanaf internet, heeft een lokaal gebruikersaccount met veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft beveiligingsproblemen waardoor code kan worden uitgevoerd en laterale verplaatsing naar de onderliggende rekenkracht |
| SQL op internet beschikbaar gesteld op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen (preview) | SQL on EC2-exemplaar is bereikbaar vanaf internet, heeft een lokaal gebruikersaccount met veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's) |
| SQL op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en staat code-uitvoering toe op de onderliggende rekenkracht (preview) | SQL op EC2-exemplaar heeft een lokaal gebruikersaccount met veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft beveiligingsproblemen waardoor code-uitvoering en laterale verplaatsing naar de onderliggende berekening mogelijk zijn |
| SQL op EC2-exemplaar heeft een gebruikersaccount met veelgebruikte gebruikersnaam en bekende beveiligingsproblemen (preview) | SQL op EC2-exemplaar heeft een lokaal gebruikersaccount met veelgebruikte gebruikersnaam (die gevoelig is voor beveiligingsaanvallen) en heeft bekende beveiligingsproblemen (CVE's) |
| Persoonlijke AWS S3-bucket repliceert gegevens naar openbaar en openbaar toegankelijke AWS S3-bucket | Persoonlijke AWS S3-bucket repliceert gegevens naar openbaar en openbaar toegankelijke AWS S3-bucket |
| Persoonlijke AWS S3-bucket met gevoelige gegevens repliceert gegevens naar openbaar en openbaar toegankelijke AWS S3-bucket | Persoonlijke AWS S3-bucket met gevoelige gegevens repliceert gegevens naar openbaar en openbaar toegankelijke AWS S3-bucket |
| RDS-momentopname is openbaar beschikbaar voor alle AWS-accounts (preview) | RDS-momentopname is openbaar beschikbaar voor alle AWS-accounts |
GCP-gegevens
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| GCP-opslagbucket met gevoelige gegevens is openbaar toegankelijk | GCP Storage Bucket [BucketName] met gevoelige gegevens staat openbare leestoegang toe zonder autorisatie vereist. |
Azure-containers
Vereiste: Schakel het postuur van containers zonder agent in. Dit biedt u ook de mogelijkheid om query's uit te voeren op workloads in het gegevensvlak van containers in Security Explorer.
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Kubernetes-pod met internet wordt uitgevoerd met een container met RCE-beveiligingsproblemen | Een kubernetes-pod die via internet wordt weergegeven in een naamruimte, voert een container uit met behulp van een installatiekopieën met beveiligingsproblemen waardoor externe code kan worden uitgevoerd. |
| Kubernetes-pod die wordt uitgevoerd op een internetbelicht knooppunt maakt gebruik van een hostnetwerk waarop een container met RCE-beveiligingsproblemen wordt uitgevoerd | Een Kubernetes-pod in een naamruimte waarvoor hostnetwerktoegang is ingeschakeld, wordt via het hostnetwerk blootgesteld aan internet. De pod voert een container uit met behulp van een installatiekopieën met beveiligingsproblemen waardoor externe code kan worden uitgevoerd. |
GitHub-opslagplaatsen
Vereiste: Defender voor DevOps inschakelen.
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| GitHub-opslagplaats met niet-toegankelijke tekst is openbaar toegankelijk (preview) | Een GitHub-opslagplaats is bereikbaar vanaf internet, biedt openbare leestoegang zonder autorisatie en bevat geheimen zonder opmaak. |
API's
Vereiste: Defender voor API's inschakelen.
| Weergavenaam van aanvalspad | Beschrijving van aanvalspad |
|---|---|
| Niet-geverifieerde internet-API's bevatten gevoelige gegevens | De Azure API Management-API is bereikbaar via internet, bevat gevoelige gegevens en heeft geen verificatie ingeschakeld, wat resulteert in aanvallers die gebruikmaken van API's voor gegevensexfiltratie. |
Lijst met onderdelen van cloudbeveiligingsgrafiek
In deze sectie vindt u een overzicht van alle cloudbeveiligingsgrafiekonderdelen (verbindingen en inzichten) die kunnen worden gebruikt in query's met cloudbeveiligingsverkenner.
Inzichten
| Inzicht | Omschrijving | Ondersteunde entiteiten |
|---|---|---|
| Beschikbaar gesteld op internet | Geeft aan dat een resource beschikbaar is voor internet. Ondersteunt poortfiltering. Meer informatie | Virtuele Azure-machine, AWS EC2, Azure Storage-account, Azure SQL-server, Azure Cosmos DB, AWS S3, Kubernetes-pod, Azure SQL Managed Instance, Azure MySQL Single Server, Azure MySQL Flexible Server, Azure PostgreSQL Single Server, Azure PostgreSQL Flexible Server, Azure MariaDB Single Server, Synapse Workspace, RDS Instance, GCP VM instance, GCP SQL admin instance |
| Hiermee staat u basisverificatie toe (preview) | Geeft aan dat een resource basisverificatie (lokaal gebruiker/wachtwoord of op basis van sleutels) toestaat | Azure SQL Server, RDS Instance, Azure MariaDB Single Server, Azure MySQL Single Server, Azure MySQL Flexible Server, Synapse Workspace, Azure PostgreSQL Single Server, Azure SQL Managed Instance |
| Bevat gevoelige gegevens Vereiste: schakel gegevensbewuste beveiliging in voor opslagaccounts in Defender CSPM of maak gebruik van Microsoft Purview-gegevenscatalogus om gevoelige gegevens te beveiligen. |
Geeft aan dat een resource gevoelige gegevens bevat. | Detectie van gevoelige MDC-gegevens: Azure Storage-account, Azure Storage-accountcontainer, AWS S3-bucket, Azure SQL Server (preview), Azure SQL Database (preview), RDS-exemplaar (preview), RDS-exemplaardatabase (preview), RDS-cluster (preview) Purview Gevoelige gegevensdetectie (preview): Azure Storage-account, Azure Storage-accountcontainer, AWS S3-bucket, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, Azure Cosmos DB-accounts, GCP-cloudopslagbucket |
| Gegevens verplaatsen naar (preview) | Geeft aan dat een resource de gegevens overdraagt naar een andere resource | Opslagaccountcontainer, AWS S3, AWS RDS-exemplaar, AWS RDS-cluster |
| Hiermee haalt u gegevens op uit (preview) | Geeft aan dat een resource de gegevens van een andere resource ophaalt | Opslagaccountcontainer, AWS S3, AWS RDS-exemplaar, AWS RDS-cluster |
| Bevat tags | De resourcetags van de cloudresource weergeven | Alle Azure-, AWS- en GCP-resources |
| Geïnstalleerde software | Geeft een lijst weer van alle software die op de computer is geïnstalleerd. Dit inzicht is alleen van toepassing op VM's met integratie van bedreigings- en beveiligingsproblemenbeheer met Defender voor Cloud ingeschakeld en zijn verbonden met Defender voor Cloud. | Virtuele Azure-machine, AWS EC2 |
| Hiermee staat u openbare toegang toe | Geeft aan dat een openbare leestoegang is toegestaan voor de resource zonder autorisatie vereist. Meer informatie | Azure-opslagaccount, AWS S3-bucket, GitHub-opslagplaats, GCP-cloudopslagbucket |
| MFA is niet ingeschakeld | Geeft aan dat voor het gebruikersaccount geen multi-factor authentication-oplossing is ingeschakeld | Microsoft Entra-gebruikersaccount, IAM-gebruiker |
| Is externe gebruiker | Geeft aan dat het gebruikersaccount zich buiten het domein van de organisatie bevindt | Microsoft Entra-gebruikersaccount |
| Wordt beheerd | Geeft aan dat een identiteit wordt beheerd door de cloudprovider | Beheerde Azure-identiteit |
| Bevat algemene gebruikersnamen | Geeft aan dat een SQL-server gebruikersaccounts heeft met algemene gebruikersnamen die gevoelig zijn voor beveiligingsaanvallen. | SQL-VM, SQL-VM met Arc |
| Kan code uitvoeren op de host | Geeft aan dat een SQL-server het uitvoeren van code op de onderliggende VM toestaat met behulp van een ingebouwd mechanisme zoals xp_cmdshell. | SQL-VM, SQL-VM met Arc |
| Heeft beveiligingsproblemen | Geeft aan dat de RESOURCE SQL-server beveiligingsproblemen heeft gedetecteerd | SQL-VM, SQL-VM met Arc |
| RESULTATEN VAN DEASM | Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (DEASM)-resultaten voor internetscans | Openbare IP |
| Geprivilegieerde container | Geeft aan dat een Kubernetes-container wordt uitgevoerd in een bevoegde modus | Kubernetes-container |
| Maakt gebruik van hostnetwerk | Geeft aan dat een Kubernetes-pod gebruikmaakt van de netwerknaamruimte van de hostcomputer | Kubernetes-pod |
| Heeft beveiligingsproblemen met hoge ernst | Geeft aan dat een resource beveiligingsproblemen met hoge ernst heeft | Azure VM, AWS EC2, containerinstallatiekopie, GCP VM-exemplaar |
| Kwetsbaar voor uitvoering van externe code | Geeft aan dat een resource beveiligingsproblemen heeft waardoor externe code kan worden uitgevoerd | Azure VM, AWS EC2, containerinstallatiekopie, GCP VM-exemplaar |
| Openbare IP-metagegevens | Toont de metagegevens van een openbaar IP-adres | Openbare IP |
| Identiteitsmetagegevens | Een lijst met de metagegevens van een identiteit | Microsoft Entra-identiteit |
Connecties
| Connection | Omschrijving | Typen bronentiteiten | Typen doelentiteiten |
|---|---|---|---|
| Kan worden geverifieerd als | Geeft aan dat een Azure-resource kan worden geverifieerd bij een identiteit en de bevoegdheden ervan kan gebruiken | Azure VM, Azure VMSS, Azure Storage-account, Azure-app Services, SQL Servers | Door Microsoft Entra beheerde identiteit |
| Heeft toestemming om | Geeft aan dat een identiteit machtigingen heeft voor een resource of een groep resources | Microsoft Entra-gebruikersaccount, Beheerde identiteit, IAM-gebruiker, EC2-exemplaar | Alle Azure & AWS-resources |
| Bevat | Geeft aan dat de bronentiteit de doelentiteit bevat | Azure-abonnement, Azure-resourcegroep, AWS-account, Kubernetes-naamruimte, Kubernetes-pod, Kubernetes-cluster, GitHub-eigenaar, Azure DevOps-project, Azure DevOps-organisatie, Azure SQL Server, RDS-cluster, RDS-exemplaar, GCP-project, GCP-map, GCP-organisatie | Alle Azure-, AWS- en GCP-resources, alle Kubernetes-entiteiten, alle DevOps-entiteiten, Azure SQL-database, RDS-exemplaar, RDS-exemplaardatabase |
| Verkeer doorsturen naar | Geeft aan dat de bronentiteit netwerkverkeer naar de doelentiteit kan routeren | Openbaar IP-adres, load balancer, VNET, subnet, VPC, internetgateway, Kubernetes-service, Kubernetes-pod | Azure VM, Azure VMSS, AWS EC2, Subnet, Load Balancer, internetgateway, Kubernetes-pod, Kubernetes-service, GCP VM-exemplaar, GCP-exemplaargroep |
| Wordt uitgevoerd | Geeft aan dat de bronentiteit de doelentiteit uitvoert als proces | Azure VM, EC2, Kubernetes-container | SQL, met Arc ingeschakelde SQL, gehoste MongoDB, gehoste MySQL, gehoste Oracle, gehoste PostgreSQL, gehoste SQL Server, containerinstallatiekopie, Kubernetes-pod |
| Lid van | Geeft aan dat de bron-id lid is van de doelgroep identiteiten | Microsoft Entra-groep, Microsoft Entra-gebruiker | Microsoft Entra-groep |
| Onderhoudt | Geeft aan dat de kubernetes-bronentiteit de levenscyclus van de kubernetes-doelentiteit beheert | Kubernetes-workloadcontroller, Kubernetes-replicaset, Kubernetes stateful set, Kubernetes-daemonset, Kubernetes-taken, Kubernetes cron-taak | Kubernetes-pod |