Azure
/
Azure-Sentinel
зеркало из
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Update OperationNameValue comparison operator 

The OperationNameValue is sometimes mixed lower and uppercase. The lower case value drastically limits the number of results and overlooks the mixed case values of  "Microsoft.Storage/storageAccounts/listKeys/action". Using the =~ operator accommodates the mixed case values.
This commit is contained in:
iotmaker1 2022-05-04 09:39:20 -04:00 коммит произвёл GitHub
Родитель b4963feacc
Коммит f0540ea901
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 2 добавлений и 2 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

4
Hunting Queries/AzureActivity/Anomalous_Listing_Of_Storage_Keys.yaml
Просмотреть файл

@ -20,11 +20,11 @@ relevantTechniques:
query: | query: |
AzureActivity AzureActivity
| where OperationNameValue == "microsoft.storage/storageaccounts/listkeys/action" | where OperationNameValue =~ "microsoft.storage/storageaccounts/listkeys/action"
| where ActivityStatusValue == "Succeeded" | where ActivityStatusValue == "Succeeded"
| join kind= inner ( | join kind= inner (
AzureActivity AzureActivity
| where OperationNameValue == "microsoft.storage/storageaccounts/listkeys/action" | where OperationNameValue =~ "microsoft.storage/storageaccounts/listkeys/action"
| where ActivityStatusValue == "Succeeded" | where ActivityStatusValue == "Succeeded"
| project ExpectedIpAddress=CallerIpAddress, Caller | project ExpectedIpAddress=CallerIpAddress, Caller
| evaluate autocluster() | evaluate autocluster()