analyzing-azure-activity-logs-for-threats |…

分析 Azure 活动日志中的威胁

使用说明

使用 azure-monitor-query 对 Azure Log Analytics 工作区执行 KQL 查询，检测可疑管理操作和登录异常。

from azure.identity import DefaultAzureCredential
from azure.monitor.query import LogsQueryClient
from datetime import timedelta

credential = DefaultAzureCredential()
client = LogsQueryClient(credential)

response = client.query_workspace(
    workspace_id="WORKSPACE_ID",
    query="AzureActivity | where OperationNameValue has 'MICROSOFT.AUTHORIZATION/ROLEASSIGNMENTS/WRITE' | take 10",
    timespan=timedelta(hours=24),
)

关键检测查询：

角色分配变更（权限提升）
资源组和订阅修改
来自新 IP 的密钥保管库访问
网络安全组规则变更
条件访问策略修改

示例

# 检测新的全局管理员角色分配
query = '''
AuditLogs
| where OperationName == "Add member to role"
| where TargetResources[0].modifiedProperties[0].newValue has "Global Administrator"
'''

分析 Azure 活动日志中的威胁

使用说明

使用 azure-monitor-query 对 Azure Log Analytics 工作区执行 KQL 查询，检测可疑管理操作和登录异常。

from azure.identity import DefaultAzureCredential
from azure.monitor.query import LogsQueryClient
from datetime import timedelta

credential = DefaultAzureCredential()
client = LogsQueryClient(credential)

response = client.query_workspace(
    workspace_id="WORKSPACE_ID",
    query="AzureActivity | where OperationNameValue has 'MICROSOFT.AUTHORIZATION/ROLEASSIGNMENTS/WRITE' | take 10",
    timespan=timedelta(hours=24),
)

关键检测查询：

角色分配变更（权限提升）
资源组和订阅修改
来自新 IP 的密钥保管库访问
网络安全组规则变更
条件访问策略修改

示例

# 检测新的全局管理员角色分配
query = '''
AuditLogs
| where OperationName == "Add member to role"
| where TargetResources[0].modifiedProperties[0].newValue has "Global Administrator"
'''

analyzing-azure-activity-logs-for-threats

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

analyzing-azure-activity-logs-for-threats

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

分析 Azure 活动日志中的威胁

使用说明

示例

Similar Skills

分析 Azure 活动日志中的威胁

使用说明

示例

Similar Skills