Azure 事件中心授权规则已创建或更新

识别在 Azure 中创建或更新事件中心授权规则的情况。授权规则与特定权限相关联，并携带一对加密密钥。当您创建事件中心命名空间时，会为该命名空间创建一个名为 RootManageSharedAccessKey 的策略规则。该规则对整个命名空间具有管理权限，建议您像对待管理根帐户一样对待此规则，不要在您的应用程序中使用它。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引范围: now-25m ( 日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

https://docs.microsoft.com/en-us/azure/event-hubs/authorize-access-shared-access-signature

标签:

域：云
数据源：Azure
用例：日志审计
战术：收集

版本: 103

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.EVENTHUB/NAMESPACES/AUTHORIZATIONRULES/WRITE" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

战术
- 名称：收集
- ID: TA0009
- 参考 URL：https://attack.mitre.org/tactics/TA0009/
技术
- 名称：来自云存储的数据
- ID: T1530
- 参考 URL：https://attack.mitre.org/techniques/T1530/
战术
- 名称：外泄
- ID: TA0010
- 参考 URL：https://attack.mitre.org/tactics/TA0010/
技术
- 名称：将数据传输到云帐户
- ID: T1537
- 参考 URL：https://attack.mitre.org/techniques/T1537/

« 针对 Microsoft 365 账户的 Azure Entra 登录暴力破解 Azure 事件中心删除 »