你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
攻击路径和云安全图组件的参考列表
本文列出了在 Defender 云安全态势管理 (CSPM) 中使用的攻击路径、连接和见解。
- 你需要启用 Defender CSPM 才能查看攻击路径。
- 环境中显示的内容取决于你要保护的资源和自定义的配置。
详细了解云安全图、攻击路径分析和云安全资源管理器。
攻击路径
Azure VM
先决条件:有关先决条件的列表,请参阅攻击路径的可用性表。
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的 VM 存在高严重性漏洞 | 虚拟机可从 Internet 访问,并且存在高严重性漏洞。 |
| 在 Internet 上公开的 VM 存在高严重性漏洞并且对订阅拥有高权限 | 虚拟机可从 Internet 访问,存在高严重性漏洞,并且拥有对订阅的标识和权限。 |
| 在 Internet 上公开的 VM 存在高严重性漏洞并且对包含敏感数据的数据存储拥有读取权限 | 虚拟机可从 Internet 访问,存在高严重性漏洞,并且对包含敏感数据的数据存储拥有读取权限。 先决条件:在 Defender CSPM 中为存储帐户启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
| 在 Internet 上公开的 VM 存在高严重性漏洞并且对数据存储拥有读取权限 | 虚拟机可从 Internet 访问,存在高严重性漏洞,并且对数据存储拥有读取权限。 |
| 在 Internet 上公开的 VM 存在高严重性漏洞并且对密钥保管库拥有读取权限 | 虚拟机可从 Internet 访问,存在高严重性漏洞,并且对密钥保管库拥有读取权限。 |
| VM 存在高严重性漏洞并且对订阅拥有高权限 | 虚拟机存在高严重性漏洞,并且对订阅拥有较高权限。 |
| VM 存在高严重性漏洞并且对包含敏感数据的数据存储拥有读取权限 | 虚拟机存在高严重性漏洞,并且对包含敏感数据的数据存储拥有读取权限。 先决条件:在 Defender CSPM 中为存储帐户启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
| VM 存在高严重性漏洞,并且对密钥保管库拥有读取权限 | 虚拟机存在高严重性漏洞,并且对密钥保管库拥有读取权限。 |
| VM 存在高严重性漏洞并且对数据存储拥有读取权限 | 虚拟机存在高严重性漏洞,并且对数据存储拥有读取权限。 |
| Internet 公开的 VM 具有严重的漏洞和不安全的 SSH 私钥,该密钥可对另一个 VM 进行身份验证 | 某个 Azure 虚拟机可从 Internet 访问,具有高严重性漏洞,并且具有可向另一个 AWS EC2 实例进行身份验证的明文 SSH 私钥 |
| Internet 公开的 VM 具有高严重性漏洞,并且具有用于向 SQL 服务器进行身份验证的不安全机密 | 某个 Azure 虚拟机可从 Internet 访问,具有高严重性漏洞,并且具有可向 SQL 服务器进行身份验证的明文 SSH 私钥 |
| VM 具有高严重性漏洞,并且具有用于向 SQL 服务器进行身份验证的不安全机密 | 某个 Azure 虚拟机具有高严重性漏洞,并且具有可向 SQL 服务器进行身份验证的明文 SSH 私钥 |
| VM 具有高严重性漏洞,并且具有用于向存储账户进行身份验证的不安全的明文机密 | 某个 Azure 虚拟机具有高严重性漏洞,并且具有可向 Azure 存储账户进行身份验证的明文 SSH 私钥 |
| 在 Internet 上公开的 VM 具有高严重性漏洞,并且具有用于向存储账户进行身份验证的不安全机密 | 某个 Azure 虚拟机可从 Internet 访问,具有高严重性漏洞,并且具有可向 Azure 存储账户进行身份验证的机密 |
AWS EC2 实例
先决条件:启用无代理扫描。
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞并且对帐户拥有高权限 | AWS EC2 实例可从 Internet 访问,存在高严重性漏洞,并且拥有对帐户的权限。 |
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞并且对数据库拥有读取权限 | AWS EC2 实例可从 Internet 访问,存在高严重性漏洞,并且拥有对数据库的权限。 |
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞并且对 S3 存储桶拥有读取权限 | AWS EC2 实例可从 Internet 访问,存在高严重性漏洞,附加有 IAM 角色,并且通过 IAM 策略、通过存储桶策略或同时通过 IAM 策略和存储桶策略拥有对 S3 存储桶的权限。 |
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞并且对包含敏感数据的 S3 存储桶拥有读取权限 | AWS EC2 实例可从 Internet 访问,存在高严重性漏洞,附加有 IAM 角色,并且通过 IAM 策略、通过存储桶策略或同时通过 IAM 策略和存储桶策略拥有对包含敏感数据的 S3 存储桶的权限。 先决条件:在 Defender CSPM 中为 S3 存储桶启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞并且对 KMS 拥有读取权限 | AWS EC2 实例可从 Internet 访问,存在高严重性漏洞,附加有 IAM 角色,并且通过 IAM 策略、通过 AWS 密钥管理服务 (KMS) 策略或同时通过 IAM 策略和 AWS KMS 策略拥有对 AWS 密钥管理服务 (KMS) 的权限。 |
| 在 Internet 上公开的 EC2 实例存在高严重性漏洞 | AWS EC2 实例可从 Internet 访问,并且存在高严重性漏洞。 |
| 存在严重性漏洞的 EC2 实例对帐户拥有高特权 | AWS EC2 实例存在高严重性漏洞,并且拥有对帐户的权限。 |
| 存在高严重性漏洞的 EC2 实例对数据存储拥有读取权限 | AWS EC2 实例存在高严重性漏洞,并且附加有 IAM 角色,该角色通过 IAM 策略、通过存储桶策略或同时通过 IAM 策略和存储桶策略被授予对 S3 存储桶的权限。 |
| 存在高严重性漏洞的 EC2 实例对包含敏感数据的数据存储拥有读取权限 | AWS EC2 实例存在高严重性漏洞,并且附加有 IAM 角色,该角色通过 IAM 策略、通过存储桶策略或同时通过 IAM 和存储桶策略被授予对包含敏感数据的 S3 存储桶的权限。 先决条件:在 Defender CSPM 中为 S3 存储桶启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
| 存在高严重性漏洞的 EC2 实例对 KMS 密钥拥有读取权限 | AWS EC2 实例存在高严重性漏洞,并且附加有 IAM 角色,该角色通过 IAM 策略、通过 AWS 密钥管理服务 (KMS) 策略或同时通过 IAM 和 AWS KMS 策略被授予对 AWS 密钥管理服务 (KMS) 密钥的权限。 |
| Internet 公开的 EC2 实例具有严重的漏洞和不安全的 SSH 私钥,该密钥可对另一个 AWS EC2 实例进行身份验证 | 某个 AWS EC2 实例可从 Internet 访问,具有高严重性漏洞,并且具有可向另一个 AWS EC2 实例进行身份验证的明文 SSH 私钥 |
| Internet 公开的 EC2 实例具有高严重性漏洞,并且具有用于向 RDS 资源进行身份验证的不安全机密 | 某个 AWS EC2 实例可从 Internet 访问,具有高严重性漏洞,并且具有可向 AWS RDS 资源进行身份验证的明文 SSH 私钥 |
| EC2 实例具有高严重性漏洞,并且具有用于向 RDS 资源进行身份验证的不安全的明文机密 | 某个 AWS EC2 实例具有高严重性漏洞,并且具有可向 AWS RDS 资源进行身份验证的明文 SSH 私钥 |
| Internet 公开的 AWS EC2 实例具有高严重性漏洞,并且具有对 S3 存储桶享有权限(通过 IAM 策略、通过存储桶策略或同时通过 IAM 策略和存储桶策略获得该权限)的不安全机密。 | 某个 AWS EC2 实例可从 Internet 访问,具有高严重性漏洞,并且具有对 S3 存储桶享有权限(通过 IAM 策略、存储桶策略或这两者获得该权限)的不安全机密 |
GCP VM 实例
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的 VM 实例存在高严重性漏洞 | GCP VM 实例“[VMInstanceName]”可从 Internet 访问,并且存在高严重性漏洞[远程代码执行]。 |
| 在 Internet 上公开的 VM 实例存在高严重性漏洞,对数据存储拥有读取权限 | GCP VM 实例“[VMInstanceName]”可从 Internet 访问,存在高严重性漏洞[远程代码执行],并且对数据存储具有读取权限。 |
| 在 Internet 上公开的 VM 实例存在高严重性漏洞,对包含敏感数据的数据存储拥有读取权限 | GCP VM 实例“[VMInstanceName]”可从 Internet 访问,存在高严重性漏洞,即允许在计算机上远程执行代码,并分配有对包含敏感数据的 GCP 存储帐户“[BucketName]”具有读取权限的服务帐户。 |
| 在 Internet 上公开的 VM 实例存在高严重性漏洞并且对项目拥有高权限 | GCP VM 实例“[VMInstanceName]”可从 Internet 访问,存在高严重性漏洞[远程代码执行],并且对项目“[ProjectName]”具有“[Permissions]”权限。 |
| 在 Internet 上公开的 VM 实例存在高严重性漏洞,对机密管理器拥有读取权限 | GCP VM 实例“[VMInstanceName]”可从 Internet 访问,存在高严重性漏洞[远程代码执行],并且通过 IAM 策略具有对 GCP 机密管理器的机密“[SecretName]”的读取权限。 |
| 在 Internet 上公开的 VM 实例存在高严重性漏洞,并安装了托管数据库 | 具有托管 [DatabaseType] 数据库的 GCP VM 实例“[VMInstanceName]”可从 Internet 访问,并且存在高严重性漏洞。 |
| 在 Internet 上公开的 VM 存在高严重性漏洞,具有纯文本 SSH 私钥 | GCP VM 实例“[MachineName]”可从 Internet 访问,存在高严重性漏洞[远程代码执行],并且具有纯文本 SSH 私钥 [SSHPrivateKey]。 |
| 存在高严重性漏洞的 VM 实例对数据存储拥有读取权限 | GCP VM 实例“[VMInstanceName]”存在高严重性漏洞[远程代码执行],并且对数据存储具有读取权限。 |
| 存在高严重性漏洞的 VM 实例对包含敏感数据的数据存储拥有读取权限 | GCP VM 实例“[VMInstanceName]”存在高严重性漏洞[远程代码执行],并且对包含敏感数据的 GCP 存储桶“[BucketName]”具有读取权限。 |
| VM 实例存在高严重性漏洞并且对项目拥有高权限 | GCP VM 实例“[VMInstanceName]”存在高严重性漏洞[远程代码执行],并且对项目“[ProjectName]”具有“[Permissions]”权限。 |
| 存在高严重性漏洞的 VM 实例对机密管理器拥有读取权限 | GCP VM 实例“[VMInstanceName]”存在高严重性漏洞[远程代码执行],并且通过 IAM 策略具有对 GCP 机密管理器的机密“[SecretName]”的读取权限。 |
| 存在高严重性漏洞的 VM 实例具有纯文本 SSH 私钥 | 符合所有其他攻击路径的 GCP VM 实例。 虚拟机“[MachineName]”存在高严重性漏洞[远程代码执行],并且具有纯文本 SSH 私钥 [SSHPrivateKey]。 |
Azure 数据
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的 SQL on VM 包含一个使用常用用户名的用户帐户,并且允许在 VM 上执行代码 | SQL on VM 可从 Internet 访问,包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在允许代码执行和横向移动到基础 VM 的漏洞。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| 在 Internet 上公开的 SQL on VM 包含一个使用常用用户名的用户帐户,并且存在已知漏洞 | SQL on VM 可从 Internet 访问,包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE)。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| SQL on VM 包含一个使用常用用户名的用户帐户,并且允许在 VM 上执行代码 | SQL on VM 包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在允许代码执行和横向移动到基础 VM 的漏洞。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| SQL on VM 包含一个使用常用用户名的用户帐户,并且存在已知漏洞 | SQL on VM 包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE)。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| 在 Internet 上过多公开的托管数据库允许基本(本地用户/密码)身份验证 | 可以通过 Internet 从任何公共 IP 访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使数据库容易受到暴力攻击。 |
| 在 Internet 上过度公开且包含敏感数据的托管数据库允许基本(本地用户/密码)身份验证(预览版) | 可以通过 Internet 从任何公共 IP 访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使包含敏感数据的数据库容易受到暴力攻击。 |
| 在 Internet 上公开的包含敏感数据的托管数据库允许基本(本地用户/密码)身份验证(预览版) | 可以通过 Internet 从特定 IP 或 IP 范围访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使包含敏感数据的数据库容易受到暴力攻击。 |
| 在 Internet 上公开的 VM 具有高严重性漏洞,并安装了托管数据库(预览版) | 对数据库计算机具有网络访问权限的攻击者可以利用这些漏洞并获取远程代码执行。 |
| 专用 Azure Blob 存储容器可将数据复制到向 Internet 公开且可公开访问的 Azure Blob 存储容器 | 某个内部 Azure 存储容器将其数据复制到另一个 Azure 存储容器,目标容器可从 Internet 访问并允许公共访问,使此数据面临风险。 |
| 在 Internet 上公开且具有敏感数据的 Azure Blob 存储容器可公开访问 | 包含敏感数据的 Blob 存储帐户容器可从 Internet 访问,并且无需授权即可进行公共读取访问。 先决条件:在 Defender CSPM 中为存储帐户启用数据感知安全性。 |
AWS 数据
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的包含敏感数据的 AWS S3 存储桶可公开访问 | 包含敏感数据的 S3 存储桶可从 Internet 访问,并且无需授权即可进行公共读取访问。 先决条件:在 Defender CSPM 中为 S3 存储桶启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
| 在 Internet 上公开的 SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且允许在基础计算上执行代码 | 在 Internet 上公开的 SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且允许在基础计算上执行代码。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender。 |
| 在 Internet 上公开的 SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且存在已知漏洞 | SQL on EC2 实例可从 Internet 访问,包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE)。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且允许在基础计算上执行代码 | SQL on EC2 实例包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在允许代码执行和横向移动到基础计算的漏洞。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且存在已知漏洞 | SQL on EC2 实例 [EC2Name] 包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE)。 先决条件:为计算机上的 SQL 服务器启用 Microsoft Defender |
| 在 Internet 上过多公开的托管数据库允许基本(本地用户/密码)身份验证 | 可以通过 Internet 从任何公共 IP 访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使数据库容易受到暴力攻击。 |
| 在 Internet 上过度公开且包含敏感数据的托管数据库允许基本(本地用户/密码)身份验证(预览版) | 可以通过 Internet 从任何公共 IP 访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使包含敏感数据的数据库容易受到暴力攻击。 |
| 在 Internet 上公开的包含敏感数据的托管数据库允许基本(本地用户/密码)身份验证(预览版) | 可以通过 Internet 从特定 IP 或 IP 范围访问数据库,并允许使用用户名和密码(基本身份验证机制)进行身份验证,这会使包含敏感数据的数据库容易受到暴力攻击。 |
| 在 Internet 上公开的 EC2 实例具有高严重性漏洞,并且安装了托管数据库(预览版) | 对数据库计算机具有网络访问权限的攻击者可以利用这些漏洞并获取远程代码执行。 |
| 专用 AWS S3 存储桶会将数据复制到在 Internet 上公开且可公开访问的 AWS S3 存储桶 | 内部 AWS S3 存储桶将其数据复制到另一个 S3 存储桶,该存储桶可从 Internet 访问并允许公开访问,且会使此数据面临风险。 |
| RDS 快照已公开提供给所有 AWS 帐户(预览版) | RDS 实例或群集快照可供所有 AWS 帐户公开访问。 |
| 在 Internet 上公开的 SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且允许在基础计算上执行代码(预览版) | SQL on EC2 实例可从 Internet 访问,包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在允许代码执行和横向移动到基础计算的漏洞 |
| 在 Internet 上公开的 SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且存在已知漏洞(预览版) | SQL on EC2 实例可从 Internet 访问,包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE) |
| SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且允许在基础计算上执行代码(预览版) | SQL on EC2 实例包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在允许代码执行和横向移动到基础计算的漏洞 |
| SQL on EC2 实例包含一个使用常用用户名的用户帐户,并且存在已知漏洞(预览版) | SQL on EC2 实例包含一个使用常用用户名的本地用户帐户(容易受到暴力攻击),并且存在已知漏洞 (CVE) |
| 专用 AWS S3 存储桶会将数据复制到在 Internet 上公开且可公开访问的 AWS S3 存储桶 | 专用 AWS S3 存储桶将数据复制到在 Internet 上公开且可公开访问的 AWS S3 存储桶 |
| 包含敏感数据的专用 AWS S3 存储桶可将数据复制到在 Internet 上公开且可公开访问的 AWS S3 存储桶 | 具有敏感数据的专用 AWS S3 存储桶将数据复制到在 Internet 上公开且可公开访问的 AWS S3 存储桶 |
| RDS 快照已公开提供给所有 AWS 帐户(预览版) | RDS 快照已公开提供给所有 AWS 帐户 |
GCP 数据
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 包含敏感数据的 GCP 存储桶可公开访问 | 包含敏感数据的 GCP 存储桶 [BucketName] 允许在不需要授权的情况下进行公开读取访问。 |
Azure 容器
先决条件:启用无代理容器状况。 这也将使你能够在安全资源管理器中查询容器数据平面工作负载。
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 在 Internet 上公开的 Kubernetes pod 正在运行一个存在 RCE 漏洞的容器 | 命名空间中的已在 Internet 上公开的 Kubernetes Pod 正在使用映像运行容器,该容器存在允许远程代码执行的漏洞。 |
| 在向 Internet 公开的节点上运行的 Kubernetes pod 使用主机网络并正在运行存在 RCE 漏洞的容器 | 启用了主机网络访问的命名空间中的 Kubernetes Pod 通过主机网络向 Internet 公开。 Pod 正在使用映像运行容器,该容器存在允许远程代码执行的漏洞。 |
GitHub 存储库
先决条件:启用 Microsoft Defender for DevOps。
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 使用纯文本机密的 GitHub 存储库可在 Internet 上公开访问(预览版) | GitHub 存储库可从 Internet 访问,允许在未经授权的情况下进行公共读取访问,并保存纯文本机密。 |
API
先决条件:启用 Microsoft Defender for API。
| 攻击路径显示名称 | 攻击路径说明 |
|---|---|
| 未经身份验证的 Internet 公开的 API 携带敏感数据 | Azure API 管理 API 可从 Internet 访问,包含敏感数据,并且未启用身份验证,导致攻击者利用 API 进行数据外泄。 |
云安全图组件列表
本部分列出了可在云安全资源管理器中的查询中使用所有云安全图组件(连接和见解)。
洞察力
| 见解 | 说明 | 受支持的实体 |
|---|---|---|
| 向 Internet 公开 | 表示资源向 Internet 公开。 支持端口筛选。 了解详细信息 | Azure 虚拟机、AWS EC2、Azure 存储帐户、Azure SQL 服务器、Azure Cosmos DB、AWS S3、Kubernetes Pod、Azure SQL 托管实例、Azure MySQL 单一服务器、Azure MySQL 灵活服务器、Azure PostgreSQL 单一服务器、Azure PostgreSQL 灵活服务器、Azure MariaDB 单一服务器、Synapse 工作区、RDS 实例、GCP VM 实例、GCP SQL 管理员实例 |
| 允许基本身份验证(预览版) | 指示资源允许基本(本地用户/密码或基于密钥的)身份验证 | Azure SQL Server、RDS 实例、Azure MariaDB 单一服务器、Azure MySQL 单一服务器、Azure MySQL 灵活服务器、Synapse 工作区、Azure PostgreSQL 单一服务器、Azure SQL 托管实例 |
| 包含敏感数据 先决条件:在 Defender CSPM 中为存储帐户启用数据感知安全性,或利用 Microsoft Purview 数据目录来保护敏感数据。 |
指示资源包含敏感数据。 | MDC 敏感数据发现: Azure 存储帐户、Azure 存储帐户容器、AWS S3 存储桶、Azure SQL Server(预览版)、Azure SQL 数据库(预览版)、RDS 实例(预览版)、RDS 实例数据库(预览版)、RDS 群集(预览版) Purview 敏感数据发现(预览版): Azure 存储帐户、Azure 存储帐户容器、AWS S3 存储桶、Azure SQL Server、Azure SQL 数据库、Azure Data Lake Storage Gen2、Azure Database for PostgreSQL,Azure Database for MySQL、Azure Synapse Analytics、Azure Cosmos DB 帐户、GCP 云存储桶 |
| 数据移动目标(预览版) | 指示资源将其数据转移到另一个资源 | 存储帐户容器、AWS S3、AWS RDS 实例、AWS RDS 群集 |
| 数据获取来源(预览版) | 指示资源从另一个资源获取其数据 | 存储帐户容器、AWS S3、AWS RDS 实例、AWS RDS 群集 |
| 具有标记 | 列出云资源的资源标记 | 所有 Azure、AWS 和 GCP 资源 |
| 安装的软件 | 列出计算机上安装的所有软件。 此见解仅适用于启用了与 Defender for Cloud 的威胁和漏洞管理集成并已连接到 Defender for Cloud 的 VM。 | Azure 虚拟机、AWS EC2 |
| 允许公共访问 | 表示允许在不授权的情况下对来源进行公共读取访问。 了解详细信息 | Azure 存储帐户、AWS S3 存储桶、GitHub 存储库、GCP 云存储桶 |
| 未启用 MFA | 表示用户帐户未启用多重身份验证解决方案 | Microsoft Entra 用户帐户,IAM 用户 |
| 是外部用户 | 表示用户帐户在组织域的外部 | Microsoft Entra 用户帐户 |
| 受管理 | 表示标识由云提供商管理 | Azure 托管标识 |
| 包含常用用户名 | 表示 SQL 服务器包含使用常用用户名的用户帐户,容易受到暴力攻击。 | SQL VM、已启用 Arc 的 SQL VM |
| 可在主机上执行代码 | 表示 SQL 服务器允许使用 xp_cmdshell 等内置机制在基础 VM 上执行代码。 | SQL VM、已启用 Arc 的 SQL VM |
| 存在漏洞 | 表示检测到资源 SQL 服务器存在漏洞 | SQL VM、已启用 Arc 的 SQL VM |
| DEASM 扫描结果 | Microsoft Defender 外部攻击面管理 (DEASM) Internet 扫描结果 | 公共 IP |
| 特权容器 | 表示 Kubernetes 容器在特权模式下运行 | Kubernetes 容器 |
| 使用主机网络 | 表示 Kubernetes pod 使用其主机的网络命名空间 | Kubernetes pod |
| 存在高严重性漏洞 | 表示资源存在高严重性漏洞 | Azure VM、AWS EC2、容器映像、GCP VM 实例 |
| 存在远程代码执行漏洞 | 表示资源存在允许远程代码执行的漏洞 | Azure VM、AWS EC2、容器映像、GCP VM 实例 |
| 公共 IP 元数据 | 列出公共 IP 的元数据 | 公共 IP |
| 标识元数据 | 列出标识的元数据 | Microsoft Entra 标识 |
连接
| 连接 | 说明 | 源实体类型 | 目标实体类型 |
|---|---|---|---|
| 可使用以下身份验证方式 | 表示 Azure 资源可对标识进行身份验证并使用该标识的特权 | Azure VM、Azure VMSS、Azure 存储帐户、Azure 应用服务、SQL Server | Microsoft Entra 托管标识 |
| 对以下资源拥有权限 | 表示标识对一个资源或一组资源拥有权限 | Azure AD 用户帐户、托管标识、IAM 用户、EC2 实例 | 所有 Azure 和 AWS 资源 |
| 包含 | 表示源实体包含目标实体 | Azure 订阅、Azure 资源组、AWS 帐户、Kubernetes 命名空间、Kubernetes pod、Kubernetes 群集、GitHub 所有者、Azure DevOps 项目、Azure DevOps 组织、Azure SQL 服务器、RDS 群集、RDS 实例、GCP 项目、GCP 文件夹、GCP 组织 | 所有 Azure、AWS 和 GCP 资源、所有 Kubernetes 实体、所有 DevOps 实体、Azure SQL 数据库、RDS 实例、RDS 实例数据库 |
| 将流量路由到 | 表示源实体可以将网络流量路由到目标实体 | 公共 IP、负载均衡器、VNET、子网、VPC、Internet 网关、Kubernetes 服务、Kubernetes pod | Azure VM、Azure VMSS、AWS EC2、子网、负载均衡器、Internet 网关、Kubernetes pod、Kubernetes 服务、GCP VM 实例、GCP 实例组 |
| 正在运行 | 表示源实体正在以进程方式运行目标实体 | Azure VM、EC2、Kubernetes 容器 | SQL、已启用 Arc 的 SQL、托管 MongoDB、托管 MySQL、托管 Oracle、托管 PostgreSQL、托管 SQL Server、容器映像、Kubernetes Pod |
| 隶属于 | 表示源标识是目标标识组的成员 | Microsoft Entra 组,Microsoft Entra 用户 | Microsoft Entra 组 |
| 维护 | 表示源 Kubernetes 实体管理目标 Kubernetes 实体的生命周期 | Kubernetes 工作负载控制器、Kubernetes 副本集、Kubernetes StatefulSet、Kubernetes 守护程序集、Kubernetes 作业、Kubernetes cron 作业 | Kubernetes pod |