Azure 活动：存储帐户访问密钥检索

Question

我可以使用什么日志来确定存储帐户访问密钥转储。根据微软文档（https://microsoft.github.io/Azure-Threat-Research-Matrix/CredentialAccess/AZT605/AZT605-1/）

应该为此创建一个日志。然而，在实践中，当复制操作时，我看不到生成的日志，表明我已经泄露了密钥。

重现此内容：

访问存储帐户并转到访问键（请勿按显示按钮）
访问不同的存储帐户，转到访问键并按显示按钮

我无法测试如果使用
```
'Get-AzStorageAccountKey'
```
，日志记录结果是否不同，但是，我认为这与使用 azure 门户相同。

观察日志时，我发现这两个活动是相同的。这使得很难确定谁实际查看或复制了密钥。

AzureActivity 
| where TimeGenerated > ago(90d)
| where OperationNameValue contains 'MICROSOFT.STORAGE/STORAGEACCOUNTS/LISTKEYS' 
| summarize make_set(ActivityStatusValue) by Caller, Resource

我可以使用对 KQL 或其他日志源的哪些修改来确定此活动？

Answer 1

有没有办法区分复制、展示或查看事件？他们在我看来都一样吗？还有其他日志可以利用吗？还有其他可以使用的色谱柱吗？

没有这样的区分日志据我所知，使用存储帐户天蓝色活动查询的日志，无法确定调用者是否已复制/显示/刚刚访问了访问密钥的部分。它为所有 3 个操作提供相同的日志，如下所示：

enter image description here

另一件事，如果您正在访问访问密钥页面，那么您可以打开或查看密钥（即使您没有看到或复制密钥），因此日志将以您列出密钥的方式存储。

用户显示和复制密钥与仅访问页面之间的区别。这应该有一个独特的日志

据我所知，没有记录此信息。

Azure 活动：存储帐户访问密钥检索

问题描述投票：0回答：1

1个回答

最新问题

Azure 活动：存储帐户访问密钥检索

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1