摘要
在我的文章《攻击 Azure,Azure AD 及 PowerZure 介绍》中,我提供了几种攻击 Azure 和 AzureAD 的策略、技术和过程(TTPs) ,并发布了利用 PowerZure 来自动化操作其中的一些内容。 我坚信,当一个新的战术或工具开发出来后,防守指南应该遵循以帮助蓝队从这些战术或工具中获得安全感。 不幸的是,Azure 对于发生在 Azure 内部的操作的日志记录能力还有很多不足之处。
本文的目的是对 Azure 内部的原生活动日志服务功能进行概述,并深入探讨如何检测我上一篇文章中列出的许多 TTPs,以及关于如何从活动日志服务中获取更多细节的建议,而不仅仅是显示在‘ summary’选项卡上的内容。
概览
每当一个操作在 Azure 中完成,一个事件就会生成并保存在活动日志服务中。 在活动日志中,用户可以看到所有操作并应用基本过滤器(时间跨度、严重性等)。 日志中的操作(事件)是根据操作的状态分离出来的,即事件何时开始、何时更新、何时结束等等。 为了查看该操作中的其他“子事件” ,用户必须单击该事件,奇热然后其他状态事件将填充。 这很重要,因为围绕操作的细节取决于状态。
图1: 单击第一个事件会显示一个子事件
例如,当一个用户被分配到一个角色(例如 contributor)时,会启动一个创建事件的操作,但是缺少必要的细节。
图2: 在 Azure 中为角色分配创建的初始事件
一旦操作完成,另一个“子事件”会被创建,然后公开必要的细节。
图3: 单击子事件时会显示更多的详细信息
在本例中,“ Message”字段包含添加到角色的用户的用户名,与不包含此信息的原始事件相比较。
警报
可以从活动日志中直接配置警报。 每当一个操作发生时,Azure 都会给出一个选项,一旦你点击了这个事件,就可以为这个操作创建一个警报。