› › ›

Azure 存储帐户密钥已重新生成

编辑

Azure 存储帐户密钥已重新生成

编辑

识别 Azure 中存储帐户访问密钥的轮换。重新生成访问密钥可能会影响依赖于存储帐户密钥的任何应用程序或 Azure 服务。攻击者可能会重新生成密钥作为获取访问系统和资源的凭据的一种手段。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引时间范围: now-25m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/azure/storage/common/storage-account-keys-manage?tabs=azure-portal

标签:

领域：云
数据源：Azure
用例：身份和访问审计
战术：凭据访问

版本: 102

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

Azure Fleet 集成、Filebeat 模块或类似结构的数据需要与该规则兼容。

规则查询

编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.STORAGE/STORAGEACCOUNTS/REGENERATEKEY/ACTION" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

战术
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：窃取应用程序访问令牌
- ID：T1528
- 参考 URL：https://attack.mitre.org/techniques/T1528/