1.Azure Key Vault ログに関する情報ソース
まず、以下のサイトをみるのがベストでしょう。
Key Vault のログの見方と、operationName フィールとの値を確認できます。
Azure Key Vault のログ記録
https://learn.microsoft.com/ja-jp/azure/key-vault/general/logging?tabs=Vault
2.Chat GPTにサンプル Sigmaルールを書いてもらった
結果は以下のとおり。
Azure Key Vaultに対するT1087.004 (Account Discovery: Cloud Account) 攻撃を検知するためのSigmaルールを作成します。このテクニックは、攻撃者がAzure環境でアカウント情報を取得する試みを識別するために利用されます。以下はそのためのSigmaルールの例です。
title: Detect Account Discovery in Azure Key Vault
id: d7e8b3c0-b54f-42a8-b72b-4a6d28fcd923
status: experimental
description: Detects potential account discovery attempts in Azure Key Vault
author: [Your Name]
logsource:
product: azure
service: keyvault
definition: Key Vault logs or Azure Activity Logs related to Key Vault operations
detection:
selection:
OperationName:
- "GetSecret"
- "ListSecrets"
- "ListKeyVaults"
ResourceType: "Microsoft.KeyVault/vaults"
filter:
# Additional filters to reduce false positives
UserAgent|contains:
- "AzureCLI"
- "Azure PowerShell"
condition: selection and filter
falsepositives:
- Legitimate use of Azure CLI or PowerShell by administrators
level: medium
tags:
- attack.discovery
- attack.t1087.004
- azure
- azure.keyvault
説明:
OperationName: 攻撃者がAzure Key Vaultで秘密情報(例えば、シークレットや鍵のリスト)を取得しようとする操作を検知するため、「GetSecret」や「ListSecrets」などの操作名を使用します。
ResourceType: Azure Key Vaultに関連するリソースを指定します。
UserAgent: Azure CLIやPowerShellを用いた操作をフィルタリングし、検知の精度を上げます。
falsepositives: システム管理者が正当な操作でこれらのコマンドを実行する可能性があるため、それらの操作を考慮に入れます。
このSigmaルールは、Azure Key Vaultにおけるアカウントディスカバリーの試行を検知するのに役立ちますが、特定の環境に合わせた調整が必要になるかもしれません。
コメントを残す