Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela CloudStorageAggregatedEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o aktywności magazynu i powiązanych zdarzeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Ta zaawansowana tabela wyszukiwania zagrożeń jest wypełniana przez rekordy z Microsoft Defender for Cloud. Jeśli Twoja organizacja nie ma Microsoft Defender dla chmury, zapytania korzystające z tabeli nie będą działać ani nie będą zwracać żadnych wyników. Aby uzyskać więcej informacji na temat wymagań wstępnych dotyczących integracji usługi Defender for Cloud z usługą Defender XDR, przeczytaj Microsoft Defender XDR integracji.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
DataAggregationStartTime |
datetime |
Godzina rozpoczęcia agregowania danych |
DataAggregationEndTime |
datetime |
Czas zakończenia agregowania danych |
DataSource |
string |
Źródło zagregowanych dzienników |
SubscriptionId |
string |
Unikatowy identyfikator przypisany do subskrypcji platformy Azure |
ResourceGroup |
string |
Nazwa grupy zasobów, w której znajduje się konto magazynu |
StorageAccount |
string |
Identyfikator konta magazynu |
StorageContainer |
string |
Identyfikator kontenera magazynu |
StorageFileShare |
string |
Identyfikator udziału plików magazynu |
ServiceType |
string |
Określa typ usługi magazynu (na przykład Blob, ADLS Gen2, Files.REST, Files.SMB) |
IpAddress |
string |
Adresy IP, z których uzyskano dostęp do magazynu |
UserAgentHeader |
string |
Szczegóły agenta użytkownika uzyskującego dostęp do magazynu (na przykład przeglądarki lub aplikacji) |
OperationNamesList |
object |
Lista wykonanych operacji magazynu (na przykład CreateContainer, DeleteContainer) |
AuthenticationType |
string |
Metoda uwierzytelniania używana do uzyskiwania dostępu do magazynu (na przykład AccountKey, SAS, Oauth) |
AccountObjectId |
string |
Unikatowy identyfikator obiektu umożliwia dostęp do magazynu |
AccountTenantId |
long |
Unikatowy identyfikator dzierżawy platformy Azure |
AccountApplicationId |
string |
Identyfikator aplikacji skojarzony z dostępem do magazynu |
AccountUpn |
string |
Główna nazwa użytkownika uzyskującego dostęp |
AccountType |
long |
Używany typ konta |
OperationsCount |
int |
Całkowita liczba wykonanych operacji magazynowania |
SuccessfulOperationsCount |
int |
Liczba pomyślnych operacji magazynu |
FailedOperationsCount |
int |
Liczba nieudanych operacji magazynu |
FirstEventTimestamp |
datetime |
Sygnatura czasowa pierwszej zaobserwowanej operacji w okresie agregacji |
LastEventTimestamp |
datetime |
Sygnatura czasowa ostatniej zaobserwowanej operacji w okresie agregacji |
TotalResponseLength |
int |
Całkowita długość odpowiedzi wszystkich operacji GET w okresie agregacji |
SuccessfulReadOperations |
int |
Liczba pomyślnych operacji odczytu |
DistinctGetOperations |
int |
Liczba wykonanych odrębnych operacji GET |
AnonymousSuccessfulOperations |
int |
Liczba pomyślnych operacji anonimowych |
HasAnonymousResourceNotFoundFailures |
bool |
Wskazuje, czy nie znaleziono błędów anonimowego zasobu |
CountryName |
string |
Nazwa kraju, z którego uzyskano dostęp do magazynu |
CityName |
string |
Nazwa miasta, z którego uzyskano dostęp do magazynu |
ProvinceName |
string |
Nazwa prowincji lub stanu, z którego uzyskano dostęp do magazynu |
ClientSystemServiceName |
string |
Nazwa usługi systemowej znajduje się w centrum danych |
ClientCloudPlatformName |
string |
Nazwa platformy w chmurze, na której znajduje się centrum danych |
IsTorExitNode |
bool |
Wskazuje, czy adres IP jest węzłem wyjścia Tor |
IsKnownSuspiciousIp |
bool |
Wskazuje, czy adres IP jest znany jako podejrzany |
IsPrivateIp |
bool |
Wskazuje, czy adres IP jest prywatny |
SuspiciousUserAgentName |
string |
Nazwa podejrzanego agenta użytkownika uzyskującego dostęp do magazynu |
HashReputationMd5List |
object |
Lista reputacji skrótów MD5 dla zasobów, do których uzyskano dostęp |
AzureResourceId |
string |
Identyfikator zasobu platformy Azure konta magazynu |
Location |
string |
Lokalizacja konta magazynu (region) |
Timestamp |
datetime |
Wskazywanie czasu wygenerowania rekordu |
ReportId |
string |
Identyfikator GUID identyfikujący rekord w określonej tabeli |
ActionType |
string |
Typ akcji (dzienniki zagregowane) |
AdditionalFields |
dynamic |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
Przykładowe zapytania
Aby wykryć nieudane próby uwierzytelniania anonimowego:
CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields
Aby wyświetlić listę używanych nietypowych metod uwierzytelniania:
// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType
Aby znaleźć konta magazynu z dużą liczbą operacji zakończonych niepowodzeniem:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc
Aby monitorować anonimowe pomyślne operacje:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Aby wykryć dostęp do poufnych kontenerów lub udziałów plików:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Aby wykryć podejrzane przekazywanie plików za pomocą znanych złośliwych skrótów:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag