Azure 存储帐户密钥已重新生成

编辑

Azure 存储帐户密钥已重新生成编辑

识别 Azure 中存储帐户访问密钥的轮换。重新生成访问密钥可能会影响依赖于存储帐户密钥的任何应用程序或 Azure 服务。攻击者可能会重新生成密钥，以此作为获取凭据以访问系统和资源的手段。

规则类型：查询

规则索引:

filebeat-*
logs-azure*

严重性：低

风险评分: 21

每隔运行：5 分钟

从以下时间开始搜索索引：now-25m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/azure/storage/common/storage-account-keys-manage?tabs=azure-portal

标签:

域：云
数据源：Azure
用例：身份和访问审核
策略：凭据访问

版本: 102

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

Azure Fleet 集成、Filebeat 模块或类似结构的数据是与该规则兼容的必需条件。

规则查询编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.STORAGE/STORAGEACCOUNTS/REGENERATEKEY/ACTION" and event.outcome:(Success or success)

框架：MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：窃取应用程序访问令牌
- ID：T1528
- 参考网址：https://attack.mitre.org/techniques/T1528/