› › ›

Azure 应用程序凭据修改

编辑

Azure 应用程序凭据修改编辑

识别何时向 Azure 中的应用程序添加新凭据。应用程序可以使用证书或密钥字符串在请求令牌时证明其身份。可以为应用程序添加多个证书和密钥，攻击者可能会通过创建额外的身份验证方法来滥用此功能，以逃避防御或在环境中持续存在。

规则类型：查询

规则索引:

filebeat-*
logs-azure*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-25m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考资料:

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/

标签:

域：云
数据源：Azure
用例：身份和访问审计
战术：防御规避

版本: 102

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要使用 Azure Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:azure.auditlogs and azure.auditlogs.operation_name:"Update application - Certificates and secrets management" and event.outcome:(success or Success)

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：使用备用身份验证材料
- ID：T1550
- 参考链接：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考链接：https://attack.mitre.org/techniques/T1550/001/

« Azure 警报抑制规则创建或修改 Azure 自动化帐户创建 »