› › ›

已添加 Azure 服务主体凭据

识别 Azure 中何时添加了新的服务主体凭据。在大多数组织中，凭据很少会被添加到服务主体。通过添加恶意密钥或证书来劫持具有授予权限的应用程序将允许攻击者访问通常受 MFA 要求保护的数据。

规则类型: 查询

规则索引:

严重性: 中

风险评分: 47

每隔: 10 分钟运行一次

搜索索引起始时间: now-25m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

版本: 102

规则作者:

规则许可: Elastic License v2

需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

event.dataset:azure.auditlogs and azure.auditlogs.operation_name:"Add service principal credentials" and event.outcome:(success or Success)

框架: MITRE ATT&CK^TM