Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka CloudStorageAggregatedEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o aktivitě úložiště a souvisejících událostech. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Tato rozšířená tabulka proaktivního vyhledávání je naplněná záznamy z Microsoft Defender for Cloud. Pokud vaše organizace nemá Microsoft Defender pro cloud, dotazy, které používají tabulku, nebudou fungovat ani nevrátí žádné výsledky. Další informace o požadavcích na integraci Defenderu for Cloud s Defender XDR najdete v tématu integrace Microsoft Defender XDR.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
DataAggregationStartTime |
datetime |
Počáteční čas, během kterého se data agregovala |
DataAggregationEndTime |
datetime |
Koncový čas, během kterého se data agregovala |
DataSource |
string |
Zdroj agregovaných protokolů |
SubscriptionId |
string |
Jedinečný identifikátor přiřazený k předplatnému Azure |
ResourceGroup |
string |
Název skupiny prostředků, ve které se nachází účet úložiště |
StorageAccount |
string |
Identifikátor účtu úložiště |
StorageContainer |
string |
Identifikátor kontejneru úložiště |
StorageFileShare |
string |
Identifikátor sdílené složky úložiště |
ServiceType |
string |
Určuje typ služby úložiště (například Objekt blob, ADLS Gen2 Files. REST, Files. SMB) |
IpAddress |
string |
IP adresy, ze kterých se k úložišti přistupovalo |
UserAgentHeader |
string |
Podrobnosti o uživatelském agentu, který přistupuje k úložišti (například prohlížeč nebo aplikace) |
OperationNamesList |
object |
Seznam provedených operací úložiště (například CreateContainer, DeleteContainer) |
AuthenticationType |
string |
Metoda ověřování použitá pro přístup k úložišti (například AccountKey, SAS, Oauth) |
AccountObjectId |
string |
Jedinečný identifikátor objektu umožňuje přístup k úložišti. |
AccountTenantId |
long |
Jedinečný identifikátor tenanta Azure |
AccountApplicationId |
string |
ID aplikace přidružené k přístupu k úložišti |
AccountUpn |
string |
Hlavní název uživatele uživatele, který přistupuje |
AccountType |
long |
Použitý typ účtu |
OperationsCount |
int |
Celkový počet provedených operací úložiště |
SuccessfulOperationsCount |
int |
Počet úspěšných operací úložiště |
FailedOperationsCount |
int |
Počet neúspěšných operací úložiště |
FirstEventTimestamp |
datetime |
Časové razítko první pozorované operace v agregačním období |
LastEventTimestamp |
datetime |
Časové razítko poslední pozorované operace v období agregace |
TotalResponseLength |
int |
Celková délka odezvy všech operací GET během období agregace |
SuccessfulReadOperations |
int |
Počet úspěšných operací čtení |
DistinctGetOperations |
int |
Počet provedených jedinečných operací GET |
AnonymousSuccessfulOperations |
int |
Počet úspěšných anonymních operací |
HasAnonymousResourceNotFoundFailures |
bool |
Označuje, jestli došlo k selhání anonymního prostředku, který nebyl nalezen. |
CountryName |
string |
Název země, ze které se k úložišti přistupovalo |
CityName |
string |
Název města, ze kterého se k úložišti přistupovalo |
ProvinceName |
string |
Název provincie nebo státu, ze kterého bylo úložiště přístupné. |
ClientSystemServiceName |
string |
Název systémové služby je v datovém centru. |
ClientCloudPlatformName |
string |
Název cloudové platformy, na které se datové centrum nachází |
IsTorExitNode |
bool |
Určuje, jestli je IP adresa výstupním uzlem Tor. |
IsKnownSuspiciousIp |
bool |
Označuje, jestli je IP adresa známá jako podezřelá. |
IsPrivateIp |
bool |
Určuje, jestli je IP adresa privátní. |
SuspiciousUserAgentName |
string |
Název podezřelého uživatelského agenta, který přistupuje k úložišti |
HashReputationMd5List |
object |
Seznam reputací hodnot hash MD5 pro přístup k prostředkům |
AzureResourceId |
string |
ID prostředku Azure účtu úložiště |
Location |
string |
Umístění účtu úložiště (oblast) |
Timestamp |
datetime |
Uveďte čas, kdy se záznam vygeneroval. |
ReportId |
string |
IDENTIFIKÁTOR GUID pro identifikaci záznamu v konkrétní tabulce |
ActionType |
string |
Typ akce (agregované protokoly) |
AdditionalFields |
dynamic |
Další informace o události ve formátu pole JSON |
Ukázkové dotazy
Zjištění neúspěšných pokusů o anonymní ověření:
CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields
Seznam použitých neobvyklých metod ověřování:
// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType
Vyhledání účtů úložiště s velkým počtem neúspěšných operací:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc
Monitorování anonymních úspěšných operací:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Zjištění přístupu k citlivým kontejnerům nebo sdíleným složkám:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Detekce nahrání podezřelých souborů se známými škodlivými hodnotami hash:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag