Ricardoleaom/azure-soc-audit-lab

# 监控 Azure 访问（审计实验室） 在这个实验室中，我尝试解决一个常见问题：如何知道是否有人未经授权修改了公司重要文件？我使用 Azure 创建了一个安全环境，以追踪内部的所有操作。 ## 实际操作 ### 组织访问权限 我没有让所有人访问所有内容。使用了“最小权限”原则（RBAC）。只有需要处理这些文件的人才拥有访问权限。 ### 启用“事件记录” 我启用了诊断日志。很多人都忽略了这一点，但这正是能够知道谁进入了文件夹、谁下载或读取了特定文件的关键。 ### 创建搜索过滤器 我使用了 KQL（类似 Azure 的搜索命令）来生成自动列表。通过一次点击，我就能查看时间、人员 IP 以及具体访问了哪些内容。 ## 为什么这很重要？ 如今，随着数据保护法规（如 LGPD）的实施，企业需要证明其数据安全。此项目展示了如何为安全团队提供这种透明度。 用于筛选访问的查询语句： ``` StorageBlobLogs | where TimeGenerated > ago(24h) | where OperationName == "GetBlob" | project TimeGenerated, OperationName, ObjectKey, CallerIpAddress, AuthenticationType ```

标签：Azure, Azure Monitor, Azure Security Center, Blob 访问日志, GetBlob, IP 地址追踪, KQL, LGPD, RBAC, Security, 凭据导出, 存储审计, 安全控制, 操作审计, 数据平面审计, 最小权限, 权限管理, 模型越狱, 诊断日志