Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La CloudStorageAggregatedEvents table du schéma de repérage avancé contient des informations sur l’activité de stockage et les événements associés. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Importante
Certaines informations se rapportent au produit pré-publié, qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Cette table de chasse avancée est remplie par les enregistrements de Microsoft Defender pour le cloud. Si votre organization n’a pas de Microsoft Defender pour le cloud, les requêtes qui utilisent la table ne fonctionnent pas et ne retournent aucun résultat. Pour plus d’informations sur les conditions préalables à l’intégration de Defender pour le cloud à Defender XDR, consultez intégration Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de chasse avancée, consultez la référence de chasse avancée.
| Nom de colonne | Type de données | Description |
|---|---|---|
DataAggregationStartTime |
datetime |
Heure de début pendant laquelle les données ont été agrégées |
DataAggregationEndTime |
datetime |
Heure de fin pendant laquelle les données ont été agrégées |
DataSource |
string |
Source des journaux agrégés |
SubscriptionId |
string |
Identificateur unique attribué à l’abonnement Azure |
ResourceGroup |
string |
Nom du groupe de ressources où réside le compte de stockage |
StorageAccount |
string |
Identificateur du compte de stockage |
StorageContainer |
string |
Identificateur du conteneur de stockage |
StorageFileShare |
string |
Identificateur du partage de fichiers de stockage |
ServiceType |
string |
Spécifie le type de service de stockage (par exemple, Blob, ADLS Gen2, Files.REST, Files.SMB) |
IpAddress |
string |
Adresses IP à partir desquelles le stockage a été accédé |
UserAgentHeader |
string |
Détails de l’agent utilisateur accédant au stockage (par exemple, navigateur ou application) |
OperationNamesList |
object |
Liste des opérations de stockage effectuées (par exemple, CreateContainer, DeleteContainer) |
AuthenticationType |
string |
Méthode d’authentification utilisée pour accéder au stockage (par exemple, AccountKey, SAS, Oauth) |
AccountObjectId |
string |
L’identificateur unique de l’objet rend l’accès au stockage |
AccountTenantId |
long |
Identificateur unique du locataire Azure |
AccountApplicationId |
string |
ID d’application associé à l’accès au stockage |
AccountUpn |
string |
Nom d’utilisateur principal de l’utilisateur accédant |
AccountType |
long |
Type de compte utilisé |
OperationsCount |
int |
Nombre total d’opérations de stockage effectuées |
SuccessfulOperationsCount |
int |
Nombre d’opérations de stockage réussies |
FailedOperationsCount |
int |
Nombre d’opérations de stockage ayant échoué |
FirstEventTimestamp |
datetime |
Horodatage de la première opération observée dans la période d’agrégation |
LastEventTimestamp |
datetime |
Horodatage de la dernière opération observée dans la période d’agrégation |
TotalResponseLength |
int |
Longueur totale de la réponse de toutes les opérations GET pendant la période d’agrégation |
SuccessfulReadOperations |
int |
Nombre d’opérations de lecture réussies |
DistinctGetOperations |
int |
Nombre d’opérations GET distinctes effectuées |
AnonymousSuccessfulOperations |
int |
Nombre d’opérations anonymes réussies |
HasAnonymousResourceNotFoundFailures |
bool |
Indique si des échecs de ressource anonyme introuvables se sont produits |
CountryName |
string |
Nom du pays à partir duquel le stockage a été accessible |
CityName |
string |
Nom de la ville à partir de laquelle le stockage a été accessible |
ProvinceName |
string |
Nom de la province ou de l’état à partir duquel le stockage a été accessible |
ClientSystemServiceName |
string |
Le nom du service système se trouve dans le centre de données |
ClientCloudPlatformName |
string |
Nom de la plateforme cloud où se trouve le centre de données |
IsTorExitNode |
bool |
Indique si l’adresse IP est un nœud de sortie Tor |
IsKnownSuspiciousIp |
bool |
Indique si l’adresse IP est connue pour être suspecte |
IsPrivateIp |
bool |
Indique si l’adresse IP est privée |
SuspiciousUserAgentName |
string |
Nom de l’agent utilisateur suspect qui accède au stockage |
HashReputationMd5List |
object |
Liste des réputations de hachage MD5 pour les ressources consultées |
AzureResourceId |
string |
ID de ressource Azure du compte de stockage |
Location |
string |
Emplacement du compte de stockage (région) |
Timestamp |
datetime |
Indiquer l’heure à laquelle l’enregistrement a été généré |
ReportId |
string |
GUID pour identifier l’enregistrement dans la table spécifique |
ActionType |
string |
Type d’action (journaux agrégés) |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’événement au format tableau JSON |
Exemples de requêtes
Pour détecter les tentatives d’authentification anonyme ayant échoué :
CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields
Pour répertorier les méthodes d’authentification inhabituelles utilisées :
// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType
Pour rechercher des comptes de stockage avec un nombre élevé d’opérations ayant échoué :
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc
Pour surveiller les opérations anonymes réussies :
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Pour détecter l’accès aux conteneurs sensibles ou aux partages de fichiers :
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Pour détecter les chargements de fichiers suspects avec des hachages malveillants connus :
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag