问题标签 [azure-security]

根据 Whitehat 安全报告，我们使用 Kentico 构建并托管在 Azure 中的站点上的 Host 或 X-Forwarded-Host 请求标头存在漏洞

我们如何在 Azure 中防止此类攻击（我们在 azure 中有网关和 WAF）

我正在尝试找出确切的 Azure Active Directory - 目录角色，这将允许将应用程序角色分配给 AD 组、企业应用程序

权限越低越好，因为全局管理员是开放的

我在某些租户/aad 环境中成功使用命令“New-AzureADGroupAppRoleAssignment”，但在其他环境中我收到以下错误。

错误：

通过测试，我已经确认“全局管理员”AAD 目录角色允许我将企业应用程序上的应用程序分配设置为 AD 组

我将无法访问我的开发/生产环境中的“全局管理员”角色

是否有我可以创建（或传递给 AAD 目录管理员）的自定义角色，以允许全局管理员或其他一些实际工作的角色到我需要分配角色的特定企业应用程序？

我还尝试了“应用程序管理员”目录角色，该角色在文档中似乎很合适，但我得到了相同的“权限不足，无法完成操作”错误

如果有条件的目录自定义角色是可能的，我想通过 Powershell 创建它

谢谢

我在这里与 Azure 安全中心合作，我想将 Azure 安全中心的所有安全建议导出为 CSV 或任何类型的电子表格格式。

目前，我一直在使用日志搜索工具，假设其中可能隐藏着一种方法，以便在最初突出显示时将安全问题作为事件查找。然而，到目前为止还没有成功。

最终目标是在左侧有一张包含资源的表格，并在旁边注明任何安全问题。这里的社区是否遇到过与 Azure 安全中心相同的限制？如果是这样，你是如何解决它的？

谢谢大家！

我按照https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/在 Azure 中的 ubuntu linux 的虚拟机（节点）上安装了 OSSEC

OSSEC 已正确安装并运行，但当试图充当入侵者时，不会像系统日志、授权日志和警报那样生成日志。

当我尝试作为入侵者执行时，如何解决不生成日志的问题。

我正在尝试使用此示例从 .Net 客户端应用程序访问数据湖

我已经在 AAD 租户中注册了客户端应用程序，并从那里使用了客户端 ID 和客户端密码（因为我认为这是服务到服务身份验证。）

数据湖在不同的订阅中，但属于同一个租户/AAD

该应用程序在数据湖中的特定文件夹（根文件夹下的两个层次结构）的“所有者”和“分配的权限”下具有读/写/执行权限。直到根目录的父文件夹具有此处提到的执行权限。应用程序的“访问控制 (IAM)”中的总体访问级别为“读者”

我收到以下错误，我认为这意味着我能够进行身份验证但没有足够的权限来读取/写入：

我不明白缺少哪些其他权限？我必须在这里使用服务主体吗？如果是这样，我如何检查我的应用程序服务主体在此数据湖上的访问权限。谢谢。

根据这个文档：应用程序和服务主体显然是两个不同的东西。应用程序是全局身份，服务主体是每个租户/AAD

但是这个文档和这个堆栈溢出问题 表明它们是相同的。

为了使它更加混乱，当我使用 Graph API（来自第一个参考）并通过我的应用程序名称进行查询时：

我看到一个对象 ID、一个应用程序 ID（我认为它们是相同的），但在 Json 中没有服务主体 ID

AppID 和 ServicePrincipalID（以及 ClientID、ObjectID）是什么关系？谢谢。

我可以通过访问令牌（类似于SqlConnection.AccessToken）保护 Application Insights 写入，还是 InstrumentationKey 是唯一的方法？如果可以使用访问令牌，C#TelemetryClient是否支持它？

我目前正在帮助调查在我的组织的公共云中采用 Azure。我被分配的任务之一是锁定帐户以防止用户在订阅中提升他们的权限。

我特别感兴趣的一件事是拒绝创建自定义角色，因为我们不希望人们去开始创建自己的角色，直到安全审查了对角色的需求。

我一直在尝试通过具有以下定义的 Azure 策略来做到这一点

实际上只是复制了内置的“审核自定义角色”策略并将效果从“审核”更改为“拒绝”

但是，我已将此策略应用于包含我正在测试的订阅的管理组，但是当我登录 CLI 并尝试创建新的自定义角色时，它会继续创建角色。

我已确保订阅中存在该策略，并且我已确认我在 CLI 中的订阅正确（使用az account show），但我仍然可以创建自定义角色。

这只是 Azure 不支持的东西，还是我还缺少其他东西？任何帮助或指导将不胜感激，因为 Microsoft 文档和在线提供的众多示例似乎没有任何关于使用策略控制角色的信息。

PS 我知道您可以通过策略在一定程度上控制角色，因为我们有另一个策略可以防止分配特定角色集的发生并且确实有效。

创建虚拟机时，可以选择为机器创建托管标识，以对其他 Azure 资源（如以下 Microsoft 文档中引用的存储帐户）进行身份验证。

https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/

我有一个运行 IIS FTP 服务的虚拟机。我想将 windows 服务作为托管标识运行，以便它可以访问用于 ftp 根目录的存储帐户，但是我找不到在“此帐户”区域下成功指定此托管标识原则的方法服务的登录选项卡。

假设系统分配的托管标识已打开，是否可以使用 VM 的托管标识在 Azure VM 中运行 Windows 服务？如果是这样，当以特定用户身份运行服务时，您是否像常规托管服务帐户一样通过在末尾附加 $ 而没有密码来格式化它？

在 Azure 门户中创建角色分配时，我可以选择 Azure AD 用户、组或服务原则。我们在 AD 目录服务中创建了托管服务帐户，并希望将此 MSA 分配给一个角色，但未列出要添加的托管服务帐户。是否可以将托管服务帐户添加到 Azure 中的角色分配？