Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kehittyneen CloudStorageAggregatedEventsmetsästysrakenteen taulukko sisältää tietoja tallennustoiminnasta ja liittyvistä tapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Tämä kehittynyt metsästystaulukko täytetään Microsoft Defender Cloudin tietueilla. Jos organisaatiollasi ei ole Microsoft Defender Cloudille, taulukkoa käyttävät kyselyt eivät toimi tai palauta tuloksia. Lisätietoja edellytyksistä Defender for Cloudin integroimisessa Defender XDR on artikkelissa Microsoft Defender XDR integrointi.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
DataAggregationStartTime |
datetime |
Aloitusaika, jolloin tiedot koostettiin |
DataAggregationEndTime |
datetime |
Päättymisaika, jonka aikana tiedot koostettiin |
DataSource |
string |
Koostettujen lokien lähde |
SubscriptionId |
string |
Azure-tilaukselle määritetty yksilöllinen tunniste |
ResourceGroup |
string |
Sen resurssiryhmän nimi, jossa tallennustili sijaitsee |
StorageAccount |
string |
Tallennustilin tunnus |
StorageContainer |
string |
Tallennussäilön tunnus |
StorageFileShare |
string |
Jaetun tallennustiedostoresurssin tunnus |
ServiceType |
string |
Määrittää tallennuspalvelun tyypin (esimerkiksi Blob, ADLS Gen2, Files.REST, Files.SMB) |
IpAddress |
string |
IP-osoitteet, joista tallennustilaa käytettiin |
UserAgentHeader |
string |
Tallennustilaa (esimerkiksi selainta tai sovellusta) käyttävän käyttäjäagentin tiedot |
OperationNamesList |
object |
Luettelo suoritetuista tallennustoiminnoista (esimerkiksi CreateContainer tai DeleteContainer) |
AuthenticationType |
string |
Tallennustilan käyttämiseen käytettävä todennusmenetelmä (esimerkiksi AccountKey, SAS, Oauth) |
AccountObjectId |
string |
Objektin yksilöllinen tunnus tekee tallennustilan käyttöoikeuden |
AccountTenantId |
long |
Azure-vuokraajan yksilöllinen tunnus |
AccountApplicationId |
string |
Tallennustilan käyttöön liittyvä sovellustunnus |
AccountUpn |
string |
Käyttöoikeudet myöntävän käyttäjän täydellinen nimi |
AccountType |
long |
Käytetty tilityyppi |
OperationsCount |
int |
Suoritettujen tallennustoimintojen kokonaismäärä |
SuccessfulOperationsCount |
int |
Onnistuneiden tallennustoimintojen määrä |
FailedOperationsCount |
int |
Epäonnistuneiden tallennustoimintojen määrä |
FirstEventTimestamp |
datetime |
Ensimmäisen havaitun toiminnon aikaleima koostamiskaudella |
LastEventTimestamp |
datetime |
Viimeisimmän havaitun toiminnon aikaleima koostamiskaudella |
TotalResponseLength |
int |
Kaikkien GET-toimintojen vastausten kokonaispituus koostamisjakson aikana |
SuccessfulReadOperations |
int |
Onnistuneiden lukutoimintojen määrä |
DistinctGetOperations |
int |
Suoritettujen erillisten GET-toimintojen määrä |
AnonymousSuccessfulOperations |
int |
Onnistuneiden anonyymien toimintojen määrä |
HasAnonymousResourceNotFoundFailures |
bool |
Ilmaisee, onko anonyymiä resurssia löydetty virheitä |
CountryName |
string |
Sen maan nimi, josta tallennustilaa käytettiin |
CityName |
string |
Sen kaupungin nimi, josta tallennustilaa käytettiin |
ProvinceName |
string |
Sen provinssin tai osavaltion nimi, josta tallennustilaa käytettiin |
ClientSystemServiceName |
string |
Järjestelmäpalvelun nimi on palvelinkeskuksessa |
ClientCloudPlatformName |
string |
Sen pilviympäristön nimi, jossa palvelinkeskus sijaitsee |
IsTorExitNode |
bool |
Ilmaisee, onko IP-osoite Tor-lopetussolmu |
IsKnownSuspiciousIp |
bool |
Ilmaisee, onko IP-osoitteen tiedetty olevan epäilyttävä |
IsPrivateIp |
bool |
Ilmaisee, onko IP-osoite yksityinen |
SuspiciousUserAgentName |
string |
Tallennustilaa käyttävän epäilyttävän käyttäjäagentin nimi |
HashReputationMd5List |
object |
Luettelo käytettyjen resurssien MD5-hajautuksen maineesta |
AzureResourceId |
string |
Tallennustilin Azure-resurssitunnus |
Location |
string |
Tallennustilin (alue) sijainti |
Timestamp |
datetime |
Tietueen luontiajan ilmaiseminen |
ReportId |
string |
GUID-tunnus tietyn taulukon tietueen tunnistamiseen |
ActionType |
string |
Toiminnon tyyppi (koostetut lokit) |
AdditionalFields |
dynamic |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
Esimerkkikyselyt
Epäonnistuneiden anonyymien todennusyritysten tunnistaminen:
CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields
Luetteloi käytetyt epätavalliset todennusmenetelmät:
// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType
Jos haluat etsiä tallennustilejä, joissa on paljon epäonnistuneita toimintoja:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc
Anonyymien onnistuneiden toimintojen valvonta:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Luottamuksellisten säilöjen tai jaettujen tiedostoja käytettäessä:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Voit tunnistaa epäilyttävät tiedostojen lataukset tunnettujen haitallisten hajautteiden avulla:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag