1.Certificate auditing in Azure Key Vault
出典:
https://learn.microsoft.com/en-us/answers/questions/1292976/certificate-auditing-in-azure-key-vault
Azure環境内で証明書に関連する操作を追跡するために使用されます。以下にクエリの各部分について説明します。
クエリの構造と意味
AzureDiagnostics:
意味: このクエリは、AzureDiagnosticsテーブルを対象にしています。このテーブルには、Azure環境内のさまざまな診断ログデータが格納されています。
| where OperationName startswith "Certificate":
意味: このフィルタリング条件は、OperationNameが「Certificate」で始まるレコードのみを選択します。つまり、証明書に関連する操作(たとえば、証明書の作成、更新、削除など)に関するログを取得します。
| order by TimeGenerated desc:
意味: TimeGeneratedフィールドに基づいて、レコードを新しい順(降順)に並べ替えます。これにより、最新の証明書操作イベントが最初に表示されます。
| take 10:
意味: クエリは、最新の10件のレコードを取得します。この部分は、データセットが大きい場合に結果を制限し、パフォーマンスを向上させるために使用されます。
| project Resource, OperationName, User=identity_claim_unique_name_s, CertCN=certificateEnrollmentProperties_certificateProperties_subject_s:
意味: この部分では、表示したいフィールドを選択し、結果に含めます。
Resource: リソース名。どのリソースに対して操作が行われたかを示します。
OperationName: 操作名。どの操作(たとえば、証明書の作成など)が実行されたかを示します。
User=identity_claim_unique_name_s: 操作を実行したユーザーの名前。フィールド名identity_claim_unique_name_sをUserとして表示します。
CertCN=certificateEnrollmentProperties_certificateProperties_subject_s: 証明書の共通名(CN、Common Name)。フィールド名certificateEnrollmentProperties_certificateProperties_subject_sをCertCNとして表示します。
クエリの目的
このクエリは、Azure環境内で証明書に関連する操作が行われた最新の10件のイベントを特定するために使用されます。取得された情報には、操作を実行したリソースやユーザー、証明書の共通名(CN)などが含まれます。これにより、証明書操作に関連する重要な活動を監視し、セキュリティ監査や異常検出に役立てることができます。
総括
ログソース:???
検知:
<場所>
resourceId:Key Vault のリソース ID
<ロジック>
OperationName:”Certificate”で始まるログ
参考情報:
Enable Key Vault logging
https://learn.microsoft.com/en-us/azure/key-vault/general/logging?tabs=Cerificates
コメントを残す