我可以使用什么日志来确定存储帐户访问密钥转储。根据微软文档(https://microsoft.github.io/Azure-Threat-Research-Matrix/CredentialAccess/AZT605/AZT605-1/)
应该为此创建一个日志。然而,在实践中,当复制操作时,我看不到生成的日志,表明我已经泄露了密钥。
重现此内容:
'Get-AzStorageAccountKey'
,日志记录结果是否不同,但是,我认为这与使用 azure 门户相同。观察日志时,我发现这两个活动是相同的。这使得很难确定谁实际查看或复制了密钥。
AzureActivity
| where TimeGenerated > ago(90d)
| where OperationNameValue contains 'MICROSOFT.STORAGE/STORAGEACCOUNTS/LISTKEYS'
| summarize make_set(ActivityStatusValue) by Caller, Resource
我可以使用对 KQL 或其他日志源的哪些修改来确定此活动?
有没有办法区分复制、展示或查看事件?他们在我看来都一样吗?还有其他日志可以利用吗?还有其他可以使用的色谱柱吗?
没有这样的区分日志据我所知,使用存储帐户天蓝色活动查询的日志,无法确定调用者是否已复制/显示/刚刚访问了访问密钥的部分。它为所有 3 个操作提供相同的日志,如下所示:
另一件事,如果您正在访问访问密钥页面,那么您可以打开或查看密钥(即使您没有看到或复制密钥),因此日志将以您列出密钥的方式存储。
用户显示和复制密钥与仅访问页面之间的区别。这应该有一个独特的日志
据我所知,没有记录此信息。