› › ›

Azure 存储帐户密钥已重新生成

编辑

Azure 存储帐户密钥已重新生成

编辑

识别 Azure 中对存储帐户访问密钥的轮换。重新生成访问密钥会影响任何依赖于存储帐户密钥的应用程序或 Azure 服务。攻击者可能会重新生成密钥，以此作为获取访问系统和资源的凭据的手段。

规则类型: 查询

规则索引:

filebeat-*
logs-azure*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-25m (日期数学格式，另请参阅额外回溯时间)

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/zh-cn/azure/storage/common/storage-account-keys-manage?tabs=azure-portal

标签:

域: 云
数据源: Azure
用例: 身份和访问审计
策略: 凭据访问

版本: 102

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

需要 Azure Fleet 集成、Filebeat 模块或类似结构化的数据才能与此规则兼容。

规则查询

编辑

event.dataset:azure.activitylogs and azure.activitylogs.operation_name:"MICROSOFT.STORAGE/STORAGEACCOUNTS/REGENERATEKEY/ACTION" and event.outcome:(Success or success)

框架: MITRE ATT&CK^TM

策略
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 窃取应用程序访问令牌
- ID: T1528
- 参考 URL: https://attack.mitre.org/techniques/T1528/