Azure 自动化账户创建

编辑

Azure 自动化账户创建

编辑

识别何时创建了 Azure 自动化账户。Azure 自动化账户可用于自动化管理任务并协调跨系统的操作。攻击者可能会创建一个自动化账户，以便在其目标环境中保持持久性。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 低

风险评分: 21

运行频率: 5分钟

搜索索引范围: now-25m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域：云
数据源：Azure
用例：身份和访问审计
策略：持久性

版本: 102

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.AUTOMATION/AUTOMATIONACCOUNTS/WRITE" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

策略
- 名称：持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称：有效账户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
策略
- 名称：防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称：有效账户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/

« Azure 应用程序凭证修改 Azure 自动化 Runbook 创建或修改 »