适用于 Microsoft Sentinel 的 Azure 存储帐户连接器

Azure 存储帐户适用于新式数据存储方案的云解决方案。 它包含所有数据对象:Blob、文件、队列、表和磁盘。 使用此连接器,可以将 Azure 存储帐户诊断日志流式传输到 Microsoft Sentinel 工作区,从而能够持续监视所有实例中的活动,并检测组织中的恶意活动。 有关详细信息,请参阅 Microsoft Sentinel 文档

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 AzureMetrics(Azure 存储)
StorageBlobLogs
StorageQueueLogs
StorageTableLogs
StorageFileLogs
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

所有日志

StorageBlobLogs

| where TimeGenerated > ago(3d) 

| project TimeGenerated, OperationName, StatusCode, StatusText, _ResourceId

| sort by TimeGenerated

先决条件

若要与 Azure 存储帐户集成,请确保满足以下条件:

  • 策略:为每个策略分配范围分配的所有者角色

供应商安装说明

将 Azure 存储帐户诊断日志连接到 Sentinel。

此连接器使用一组 Azure 策略,将日志流式处理配置应用到定义为某个范围的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 若要充分利用 Azure 存储帐户的存储帐户诊断日志记录,建议从 Azure 存储帐户中的所有服务(Blob、队列、表和文件)启用诊断日志记录。 注意,对于这种资源类型,你可能已有活动策略。