Merkwürdige Cloud-Zugriffe auf collector.azure.*

Ich stelle mal eine Beobachtung von Lesern in diesem Beitrag ein, die sich auf Microsofts Azure und Microsoft 365-Dienste bezieht. Es gibt seit Mitte April 2024 zyklische Zugriffe auf diversen Domains, die "collector" als Subdomain aufführen. Virustotal hat wohl keine Beanstandungen, so dass es kein Sicherheitsthema ist. Inzwischen ist mir klar, was genau diese Zugriffe verursacht.


Anzeige

Leserbeobachtungen zu Zugriffen

Blog-Leser Hapo22 hat sich bereits zum 24. April 2024 im Diskussionsbereich des Blogs gemeldet und seine Beobachtung mitgeteilt. Seit dem Freitag, den 19.04.2024, beobachte er vielen Zugriffsversuche bei den Unternehmens-Proxys, die von lokalen Anwendungen auf folgenden Adressen ausgehen:

collector.azure.eaglex.ic.gov
collector.azure.microsoft.scloud

Der Leser meinte, dass beide Server aber nicht existieren. Der Leser äußert den Verdacht, dass eine Debugging-Erweiterung in Microsoft 365-Apps eingebaut wurde und fragte, ob eventuell einer der Leser diese Zugriffe in seinem Netzwerk bestätigen könne. Zum 28. April 2024 hat Leser SwissMaik dann diese Zugriffe explizit bestätigt.

Ich bin gerade eben auch auf diese beiden DNS Anfragen auf meinem Adguard Home gestoßen. Ich muss dem nachgehen, habe die Anfragen aber gleich sicherheitshalber blockiert.

Blog-Leser Johannes schreibt dann in einem weiteren Hinweis, das sich in seiner Umgebung ein Client bei beiden Domains alle paar Minuten versucht zu melden. Der Leser hat die Domain collector.azure.eaglex.ic.gov mal auf VirusTotal überprüfen lassen. Die .gov-Domain ist unter CISA.gov angesiedelt.

VirusTotal on collector.azure.eaglex.ic.gov
VirusTotal zu collector.azure.eaglex.ic.gov

Azure Machine Learning Data Collector

Ich habe dann noch etwas recherchiert und bin schließlich auf eine Erklärung für das Ganze gestoßen. Zum 18. April 2024 hat Microsoft die Verfügbarkeit des Azure Machine Learning Data Collector allgemein angekündigt. Im Beitrag Azure Machine Learning data collector is now generally available heißt es dazu, dass der Datenkollektor von Azure Machine Learning die Echtzeitprotokollierung von Eingabe- und Ausgabedaten von Modellen, die auf verwalteten Online-Endpunkten oder Kubernetes-Online-Endpunkten bereitgestellt werden, ermöglicht.

Azure Machine Learning speichert die protokollierten Inferenzdaten in Azure Blob Storage. Diese Daten können dann nahtlos für die Modellüberwachung, das Debugging oder das Auditing verwendet werden, wodurch die Leistung Ihrer Bereitstellung beobachtet werden kann. Mehr Informationen zum Datensammeln von Modellen finden sich im Beitrag Data collection from models in production. Und die zwei oben genannten Domains erklären sich auch. Microsoft betreibt ja ein Azure für US-Behörden (Azure Government) sowie die öffentliche Azure-Cloud.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Azure, Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Merkwürdige Cloud-Zugriffe auf collector.azure.*

  1. Sebastian sagt:

    VirusTotal mit diesem ekelhaften Darkmode geht echt garnicht mehr.

  2. pfiatde sagt:

    Ist da ein typo in der Domain? Eine scloud TLD gibt es ja nicht oder?

  3. Vorderwaeldler sagt:

    Erst mal blockieren.
    Ist wohl besser so :)

    Danke für den Hinweis.

  4. Anonym sagt:

    Ich finde den Artikel verwirrend. Gestern stand hier noch ein Kommentar gem. dem mittels DNSLookupView (Nir Sofer) festgestellt wurde, dass auch von einem Microsoft Teams Updating Prozess entsprechende Zugriff ausgehen. War das falsch?

    Das eigentlich Irritierende ist für mich aber, dass die Ausführungen im Abschnitt "Azure Machine Learning Data Collector" letztlich nicht erklären, warum die Systeme des Blog-Lesers Johannes ausgerechnet auf collector.azure.eaglex.ic.gov zugreifen, ein Domain Name der ihm unerklärlich ist.

    Die Erklärung "Microsoft betreibt ja ein Azure für US-Behörden (Azure Government) sowie die öffentliche Azure-Cloud." ist m. E. solange nicht schlüssig, wie Johannes nicht bei einer oder für eine US-Behörde arbeitet. Oder tut er das?

    • Günter Born sagt:

      zum ersten Satz: mir ist kein derartiger Kommentar erinnerlich, gelöscht wurde nichts.

      Zum Rest: Wenn in MS Office Apps ein collecting anspringt, wäre es für mich logisch, bei Azure-Welten anzusprechen. Aber vielleicht liefert die Schwarmintelligenz der Leser bessere Antworten.

      • Harry sagt:

        Hier ist mein ursprünglicher Kommentar zu finden:

        Bei uns fallen ebenfalls immer mehr Clients auf, die versuchen die beiden genannten URLs aufzulösen.

        Wenn man in die DNS Client Analyse geht (z.B. mit DNSLookupView von NirSoft), findet man heraus, dass der Prozess ms-teamsupdate.exe für diese DNS-Anfragen verantwortlich ist, beim Start des neuen Teams Client 2.x.

        Könnte ein Bug oder Feature sein ;-)

        In unserer Umgebung ist auf mehreren Clients bisher nur der Teams Update Prozess ms-teamsupdate.exe verantwortlich für die kuriosen DNS Requests.

        Z.B. mit dem Tool DNSLookupView von NirSoft kann man relativ schnell erkennen, dass in unregelmäßigen Abständen ms-teamsupdate.exe versucht IPv4 und IPv6 aufzulösen:

        collector.azure.microsoft.scloud A
        collector.azure.microsoft.scloud AAAA
        collector.azure.eaglex.ic.gov A
        collector.azure.eaglex.ic.gov AAAA

        Ein Client hat laut unserem DNS Monitoring mehr als 1000 Anfragen in 30 Min. produziert. Da kommt in Summe einiges zusammen.

    • Anonymous sagt:

      Zustimmung, Zugriffe auf .gov sind wie _NSAKEY

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.