通过

CloudStorageAggregatedEvents (Preview)

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

CloudStorageAggregatedEvents 高级搜寻架构中的表包含有关存储活动和相关事件的信息。 使用此参考来构建从此表返回信息的查询。

重要

某些信息与预发布产品相关,在商业发布之前,这些产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

此高级搜寻表由 Microsoft Defender for Cloud 中的记录填充。 如果组织没有云Microsoft Defender,则使用该表的查询将不起作用或返回任何结果。 有关将 Defender for Cloud 与Defender XDR集成中的先决条件的详细信息,请阅读集成Microsoft Defender XDR

有关高级搜寻架构中其他表的信息,请参阅 高级搜寻参考

列名称 数据类型 说明
DataAggregationStartTime datetime 聚合数据的开始时间
DataAggregationEndTime datetime 聚合数据的结束时间
DataSource string 聚合日志的源
SubscriptionId string 分配给 Azure 订阅的唯一标识符
ResourceGroup string 存储帐户所在的资源组的名称
StorageAccount string 存储帐户的标识符
StorageContainer string 存储容器的标识符
StorageFileShare string 存储文件共享的标识符
ServiceType string 指定存储服务 (类型,例如 Blob、ADLS Gen2、Files.REST、Files.SMB)
IpAddress string 从中访问存储的 IP 地址
UserAgentHeader string 访问存储 (的用户代理的详细信息,例如浏览器或应用程序)
OperationNamesList object (执行的存储作的列表,例如 CreateContainer、DeleteContainer)
AuthenticationType string 用于访问存储 (的身份验证方法,例如 AccountKey、SAS、Oauth)
AccountObjectId string 对象的唯一标识符正在进行存储访问
AccountTenantId long Azure 租户的唯一标识符
AccountApplicationId string 与存储访问关联的应用程序 ID
AccountUpn string 访问用户的用户主体名称
AccountType long 使用的帐户类型
OperationsCount int 执行的存储作总数
SuccessfulOperationsCount int 成功的存储作计数
FailedOperationsCount int 失败的存储作计数
FirstEventTimestamp datetime 聚合期间观察到的第一个作的时间戳
LastEventTimestamp datetime 聚合周期中最后观察到的作的时间戳
TotalResponseLength int 聚合期间所有 GET作的总响应长度
SuccessfulReadOperations int 成功的读取作计数
DistinctGetOperations int 执行的不同 GET作的计数
AnonymousSuccessfulOperations int 成功的匿名作计数
HasAnonymousResourceNotFoundFailures bool 指示是否发生匿名资源未找到故障
CountryName string 从中访问存储的国家/地区的名称
CityName string 从中访问存储的城市的名称
ProvinceName string 访问存储的省/自治区/直辖市的名称
ClientSystemServiceName string 系统服务的名称位于数据中心
ClientCloudPlatformName string 数据中心所在的云平台的名称
IsTorExitNode bool 指示 IP 地址是否为 Tor 退出节点
IsKnownSuspiciousIp bool 指示 IP 地址是否已知可疑
IsPrivateIp bool 指示 IP 地址是否为专用地址
SuspiciousUserAgentName string 访问存储的可疑用户代理的名称
HashReputationMd5List object 已访问资源的 MD5 哈希信誉列表
AzureResourceId string 存储帐户的 Azure 资源 ID
Location string 存储帐户 (区域的位置)
Timestamp datetime 指示生成记录的时间
ReportId string 用于标识特定表中的记录的 GUID
ActionType string ) 聚合日志 (作类型
AdditionalFields dynamic 有关 JSON 数组格式的事件的其他信息

示例查询

若要检测失败的匿名身份验证尝试,请执行以下作:

CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields

列出使用的异常身份验证方法:

// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType

若要查找具有大量失败作的存储帐户,请执行以下作:

CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc

监视匿名成功作:

CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields

若要检测对敏感容器或文件共享的访问,请执行以下作:

CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields

若要检测具有已知恶意哈希的可疑文件上传,请执行以下作:

CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag