detecting-azure-storage-account-misconfigurations
使用 azure-mgmt-storage Python SDK 审计 Azure Blob 和 ADLS 存储账户的公开访问暴露、弱或长期 SAS 令牌、缺失的静态加密、禁用的仅 HTTPS 流量以及过时的 TLS 版本。
Best use case
detecting-azure-storage-account-misconfigurations is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 azure-mgmt-storage Python SDK 审计 Azure Blob 和 ADLS 存储账户的公开访问暴露、弱或长期 SAS 令牌、缺失的静态加密、禁用的仅 HTTPS 流量以及过时的 TLS 版本。
Teams using detecting-azure-storage-account-misconfigurations should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-azure-storage-account-misconfigurations/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-azure-storage-account-misconfigurations Compares
| Feature / Agent | detecting-azure-storage-account-misconfigurations | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 azure-mgmt-storage Python SDK 审计 Azure Blob 和 ADLS 存储账户的公开访问暴露、弱或长期 SAS 令牌、缺失的静态加密、禁用的仅 HTTPS 流量以及过时的 TLS 版本。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测 Azure 存储账户错误配置 ## 概述 Azure 存储账户因公开访问配置错误、长期 SAS 令牌、缺失加密和过时 TLS 版本而成为攻击者的常见目标。本 skill 使用 azure-mgmt-storage Python SDK 配合 StorageManagementClient,枚举订阅中的所有存储账户,检查其安全属性,列出 blob 容器的公开访问设置,并生成一份风险评分审计报告,识别关键错误配置。 ## 前置条件 - Python 3.9+ 及 `azure-mgmt-storage`、`azure-identity` - 在目标订阅上具有读取者角色的 Azure 服务主体 - 环境变量:AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_CLIENT_SECRET、AZURE_SUBSCRIPTION_ID ## 关键检测领域 1. **公开 blob 访问** — 存储账户上启用了 `allow_blob_public_access`,或单个容器设置为 Blob/Container 访问级别 2. **HTTPS 强制执行** — `enable_https_traffic_only` 被禁用,允许未加密的 HTTP 流量 3. **最低 TLS 版本** — 账户接受 TLS 1.0 或 TLS 1.1 而不是最低 TLS 1.2 4. **静态加密** — 未启用存储服务加密或缺少客户管理的密钥 5. **网络规则** — 默认操作设置为允许而不是拒绝,将存储暴露给所有网络 6. **SAS 令牌风险** — 具有过于宽泛权限或过长生命周期的账户级 SAS ## 输出格式 包含每个账户发现、严重性评级(严重/高/中/低)以及符合 CIS Azure Benchmark 控制项的修复建议的 JSON 报告。
Related Skills
performing-service-account-credential-rotation
跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。
performing-service-account-audit
审计企业基础设施中的服务账户,识别孤立账户、过度特权账户和不合规账户。本技能涵盖在 Active Directory、云平台中发现服务账户,评估权限级别,识别缺失负责人,以及执行生命周期策略。
performing-privileged-account-discovery
发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-cloud-storage-forensic-acquisition
通过收集 API 远程数据和端点设备本地同步客户端制品,对 Google Drive、OneDrive、Dropbox 和 Box 等云存储服务执行取证获取和分析。
performing-aws-account-enumeration-with-scout-suite
使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。
implementing-privileged-identity-management-with-azure
使用 Microsoft Graph API 配置 Azure AD 特权身份管理(PIM),管理符合条件的角色分配、即时激活、访问审查,以及用于零信任特权访问的角色管理策略。
implementing-conditional-access-policies-azure-ad
为零信任访问控制配置 Microsoft Entra ID(Azure AD)条件访问策略,涵盖基于信号的策略设计、设备合规要求、基于风险的认证、命名位置、会话控制以及与 NIST SP 1800-35 零信任架构的集成。
implementing-azure-defender-for-cloud
实施 Microsoft Defender for Cloud,为虚拟机、容器、数据库和存储启用云安全态势管理和工作负载保护,配置安全建议,并通过自动修复设置自适应安全控制。
implementing-azure-ad-privileged-identity-management
配置 Microsoft Entra 特权身份管理(PIM)以强制执行即时角色激活(Just-in-Time)、审批工作流和 Azure AD 特权角色的访问审查。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。