› › ›

Azure 诊断设置删除

编辑

Azure 诊断设置删除编辑

识别 Azure 中诊断设置的删除，这些设置会将平台日志和指标发送到不同的目的地。攻击者可能会删除诊断设置以试图逃避防御。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-25m（日期数学格式，另见 额外回溯时间）

每次执行的最大警报数: 100

参考资料:

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostic-settings

标签:

域: 云
数据源: Azure
战术: 防御规避

版本: 102

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.INSIGHTS/DIAGNOSTICSETTINGS/DELETE" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 削弱防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
子技术
- 名称: 禁用或修改工具
- ID: T1562.001
- 参考 URL: https://attack.mitre.org/techniques/T1562/001/

« Azure 条件访问策略修改 Azure 事件中心授权规则创建或更新 »