Azure 事件中心授权规则创建或更新

识别在 Azure 中创建或更新事件中心授权规则的时间。授权规则与特定权限相关联，并包含一对加密密钥。创建事件中心命名空间时，会为命名空间创建名为 RootManageSharedAccessKey 的策略规则。此规则对整个命名空间具有管理权限，建议将此规则视为管理根帐户，不要在应用程序中使用它。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-25m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/azure/event-hubs/authorize-access-shared-access-signature

标签:

域：云
数据源：Azure
用例：日志审计
策略：收集

版本: 103

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询

编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/WRITE" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

策略
- 名称：收集
- ID：TA0009
- 参考网址：https://attack.mitre.org/tactics/TA0009/
技术
- 名称：来自云存储的数据
- ID：T1530
- 参考网址：https://attack.mitre.org/techniques/T1530/
策略
- 名称：渗透
- ID：TA0010
- 参考网址：https://attack.mitre.org/tactics/TA0010/
技术
- 名称：将数据传输到云帐户
- ID：T1537
- 参考网址：https://attack.mitre.org/techniques/T1537/

« Azure Entra 登录针对 Microsoft 365 帐户的暴力破解 Azure 事件中心删除 »