› › ›

Azure 服务主体凭据已添加

Azure 服务主体凭据已添加编辑

识别 Azure 中何时添加了新的服务主体凭据。在大多数组织中，凭据很少添加到服务主体。劫持应用程序（通过添加恶意密钥或证书）并获取授予的权限将允许攻击者访问通常受 MFA 要求保护的数据。

规则类型：查询

规则索引:

严重程度：中等

风险评分: 47

运行频率：10 分钟

搜索以下时间段内的索引：now-25m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 102

规则作者:

规则许可证：Elastic 许可证 v2

要与此规则兼容，需要 Azure Fleet 集成、Filebeat 模块或结构相似的数据。

event.dataset:azure.auditlogs and azure.auditlogs.operation_name:"Add service principal credentials" and event.outcome:(success or Success)

框架：MITRE ATT&CK^TM