Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A CloudStorageAggregatedEvents tabela no esquema de investigação avançada contém informações sobre a atividade de armazenamento e eventos relacionados. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Importante
Algumas informações estão relacionadas com o produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para a Cloud. Se a sua organização não tiver Microsoft Defender para a Cloud, as consultas que utilizam a tabela não irão funcionar ou devolver resultados. Para obter mais informações sobre os pré-requisitos na integração do Defender para Cloud com Defender XDR, leia Microsoft Defender XDR integração.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
DataAggregationStartTime |
datetime |
A hora de início durante a qual os dados foram agregados |
DataAggregationEndTime |
datetime |
A hora de fim durante a qual os dados foram agregados |
DataSource |
string |
A origem dos registos agregados |
SubscriptionId |
string |
Identificador exclusivo atribuído à subscrição do Azure |
ResourceGroup |
string |
Nome do grupo de recursos onde reside a conta de armazenamento |
StorageAccount |
string |
O identificador da conta de armazenamento |
StorageContainer |
string |
O identificador do contentor de armazenamento |
StorageFileShare |
string |
O identificador da partilha de ficheiros de armazenamento |
ServiceType |
string |
Especifica o tipo de serviço de armazenamento (por exemplo, Blob, ADLS Gen2, Files.REST, Files.SMB) |
IpAddress |
string |
Os endereços IP a partir dos quais o armazenamento foi acedido |
UserAgentHeader |
string |
Detalhes do agente do utilizador que está a aceder ao armazenamento (por exemplo, browser ou aplicação) |
OperationNamesList |
object |
Uma lista de operações de armazenamento executadas (por exemplo, CreateContainer, DeleteContainer) |
AuthenticationType |
string |
O método de autenticação utilizado para aceder ao armazenamento (por exemplo, AccountKey, SAS, Oauth) |
AccountObjectId |
string |
O identificador exclusivo do objeto está a tornar o acesso ao armazenamento |
AccountTenantId |
long |
O identificador exclusivo do inquilino do Azure |
AccountApplicationId |
string |
O ID da aplicação associado ao acesso ao armazenamento |
AccountUpn |
string |
O nome principal de utilizador do utilizador que acede |
AccountType |
long |
O tipo de conta utilizado |
OperationsCount |
int |
O número total de operações de armazenamento executadas |
SuccessfulOperationsCount |
int |
A contagem de operações de armazenamento bem-sucedidas |
FailedOperationsCount |
int |
A contagem de operações de armazenamento falhadas |
FirstEventTimestamp |
datetime |
O carimbo de data/hora da primeira operação observada no período de agregação |
LastEventTimestamp |
datetime |
O carimbo de data/hora da última operação observada no período de agregação |
TotalResponseLength |
int |
O comprimento total da resposta de todas as operações GET durante o período de agregação |
SuccessfulReadOperations |
int |
A contagem de operações de leitura bem-sucedidas |
DistinctGetOperations |
int |
A contagem de operações GET distintas executadas |
AnonymousSuccessfulOperations |
int |
A contagem de operações anónimas bem-sucedidas |
HasAnonymousResourceNotFoundFailures |
bool |
Indica se o recurso anónimo não encontrou falhas |
CountryName |
string |
O nome do país a partir do qual o armazenamento foi acedido |
CityName |
string |
O nome da cidade a partir da qual o armazenamento foi acedido |
ProvinceName |
string |
O nome da província ou estado a partir do qual o armazenamento foi acedido |
ClientSystemServiceName |
string |
O nome do serviço de sistema está no datacenter |
ClientCloudPlatformName |
string |
O nome da plataforma na cloud onde o datacenter está localizado |
IsTorExitNode |
bool |
Indica se o endereço IP é um nó de saída tor |
IsKnownSuspiciousIp |
bool |
Indica se o endereço IP é conhecido por ser suspeito |
IsPrivateIp |
bool |
Indica se o endereço IP é privado |
SuspiciousUserAgentName |
string |
O nome do agente de utilizador suspeito que está a aceder ao armazenamento |
HashReputationMd5List |
object |
Uma lista de reputação de hash MD5 para os recursos acedidos |
AzureResourceId |
string |
O ID de Recurso do Azure da conta de armazenamento |
Location |
string |
A localização da conta de armazenamento (região) |
Timestamp |
datetime |
Indicar a hora em que o registo foi gerado |
ReportId |
string |
GUID para identificar o registo na tabela específica |
ActionType |
string |
Tipo de ação (registos agregados) |
AdditionalFields |
dynamic |
Informações adicionais sobre o evento no formato de matriz JSON |
Consultas de exemplo
Para detetar tentativas de autenticação anónima falhadas:
CloudStorageAggregatedEvents
| where FailedOperationsCount > 0
| where AuthenticationType == "Anonymous"
| project StorageAccount, FailedOperationsCount, OperationNamesList, AdditionalFields
Para listar métodos de autenticação invulgares utilizados:
// Define a list of expected authentication types
let ExpectedAuthTypes = dynamic(["AccountKey", "SAS", "Oauth"]);
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where not(AuthenticationType in (ExpectedAuthTypes))
| summarize TotalOperations = sum(OperationsCount) by StorageAccount, AuthenticationType
Para localizar contas de armazenamento com um elevado número de operações falhadas:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| summarize TotalFailedOperations = sum(FailedOperationsCount) by StorageAccount
| where TotalFailedOperations > 100
| order by TotalFailedOperations desc
Para monitorizar operações anónimas e bem-sucedidas:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Para detetar o acesso a contentores confidenciais ou partilhas de ficheiros:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where AuthenticationType == "Anonymous" and SuccessfulOperationsCount > 0
| project StorageAccount, SuccessfulOperationsCount, OperationNamesList, AdditionalFields
Para detetar carregamentos de ficheiros suspeitos com hashes maliciosos conhecidos:
CloudStorageAggregatedEvents
| where DataAggregationEndTime >= ago(7d)
| where isnotempty(Md5Hashes)
| mv-expand HashReputation = Md5Hashes
| extend HashDetails = parse_json(HashReputation)
| project StorageAccount, AccountUpn, OperationNamesList, HashMd5 = HashDetails.md5Hash, ResourcePath = HashDetails.resourcePath, OperationType = HashDetails.operationType, ETag = HashDetails.etag