Azure Blob 容器访问级别修改

编辑

Azure Blob 容器访问级别修改编辑

识别 Azure 中容器访问级别的更改。对 Azure 中的容器和 Blob 进行匿名公共读取访问是一种广泛共享数据的方式，但如果对敏感数据的访问管理不当，则可能会带来安全风险。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重程度: 低

风险评分: 21

运行间隔: 5 分钟

搜索的索引范围: now-25m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/zh-cn/azure/storage/blobs/anonymous-read-access-prevent

标签:

域: 云
数据源: Azure
用例: 资产可见性
策略: 发现

版本: 102

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 Azure Fleet 集成、Filebeat 模块或类似的结构化数据。

规则查询编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.STORAGE/STORAGEACCOUNTS/BLOBSERVICES/CONTAINERS/WRITE" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

策略
- 名称: 发现
- ID: TA0007
- 参考链接: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 云服务发现
- ID: T1526
- 参考链接: https://attack.mitre.org/techniques/T1526/
策略
- 名称: 初始访问
- ID: TA0001
- 参考链接: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 利用面向公众的应用程序
- ID: T1190
- 参考链接: https://attack.mitre.org/techniques/T1190/

« Azure 自动化 Webhook 创建 Azure Blob 权限修改 »