用户被添加为 Azure 服务主体的所有者

识别用户何时被添加为 Azure 服务主体的拥有者。服务主体对象定义应用程序在特定租户中可以执行的操作、谁可以访问应用程序以及应用程序可以访问哪些资源。当应用程序被授予访问租户中资源的权限时，将创建一个服务主体对象。攻击者可能会将用户帐户添加为服务主体的拥有者，并使用该帐户来定义应用程序在 Azure AD 租户中可以执行的操作。

规则类型：查询

规则索引:

严重性：低

风险评分: 21

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-25m（日期数学格式，另请参见 其他回溯时间）

每个执行的最大警报数: 100

参考:

标签:

版本: 102

规则作者:

规则许可证：Elastic 许可证 v2

event.dataset:azure.auditlogs and azure.auditlogs.operation_name:"Add owner to service principal" and event.outcome:(Success or success)