مشاركة عبر

تدقيق استعلامات Microsoft Azure Sentinel وأنشطته

  • مقالة

توضح هذه المقالة كيف يمكنك عرض بيانات التدقيق للاستعلامات التي يتم تشغيلها والأنشطة التي يتم تنفيذها في مساحة عمل Microsoft Azure Sentinel، مثل متطلبات التوافق الداخلية والخارجية في مساحة عمل عمليات الأمان (SOC).

يوفر Microsoft Azure Sentinel إمكانية الوصول لما يلي:

  • جدول AzureActivity، والذي يوفر تفاصيل حول جميع الإجراءات المتخذة في Microsoft Azure Sentinel، مثل تحرير قواعد التنبيه. لا يسجل جدول AzureActivity بيانات استعلام معينة. لمزيد من المعلومات، راجع Auditing with Azure Activity logs.

  • جدول LAQueryLogs، والذي يوفر تفاصيل حول الاستعلامات التي يتم تشغيلها في Log Analytics، بما في ذلك الاستعلامات التي يتم تشغيلها من Microsoft Azure Sentinel. لمزيد من المعلومات، راجع Auditing with LAQueryLogs.

تلميح

بالإضافة إلى الاستعلامات اليدوية الموضحة في هذه المقالة، يوفر Microsoft Azure Sentinel مصنفًا مضمنًا لمساعدتك في تدقيق الأنشطة في بيئة SOC.

في منطقة مصنفات Microsoft Azure Sentinel، ابحث عن مصنف تدقيق مساحة العمل.

المتطلبات الأساسية

  • قبل أن تتمكن من تشغيل نماذج الاستعلامات بنجاح في هذه المقالة، تحتاج إلى وجود بيانات ذات صلة في مساحة عمل Microsoft Sentinel للاستعلام عن Microsoft Sentinel والوصول إليه.

    لمزيد من المعلومات، راجع تكوين محتوى Microsoft Sentinel والأدوار والأذونات في Microsoft Sentinel.

التدقيق باستخدام سجلات النشاط من Azure

يتم الاحتفاظ بسجلات تدقيق Microsoft Azure Sentinel في سجلات نشاط Azure، إذ يتضمن جدول AzureActivity جميع الإجراءات المتخذة في مساحة عمل Microsoft Azure Sentinel.

يمكنك استخدام جدول AzureActivity عند تدقيق النشاط في بيئة SOC باستخدام Microsoft Azure Sentinel.

الاستعلام عن جدول AzureActivity:

  1. قم بتوصيل مصدر بيانات نشاط Azure لبدء دفق أحداث التدقيق في جدول جديد يسمى AzureActivity. في مدخل Microsoft Azure، استعلم عن هذا الجدول في صفحة Logs . في مدخل Defender، استعلم عن هذا الجدول في صفحة التتبع المتقدم للتحقيق والاستجابة > >. لمزيد من المعلومات، راجع

  2. الاستعلام عن البيانات باستخدام KQL، كما تفعل مع أي جدول آخر.

    يتضمن جدول AzureActivity بيانات من العديد من الخدمات، بما في ذلك Microsoft Azure Sentinel. لتصفية البيانات من Microsoft Azure Sentinel فحسب، ابدأ الاستعلام باستخدام التعليمات البرمجية التالية:

     AzureActivity
| where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"

    على سبيل المثال، لمعرفة من كان آخر مستخدم يحرر قاعدة تحليلات معينة، استخدم الاستعلام التالي (استبدال xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx بمعرف القاعدة للقاعدة التي تريد التحقق منها):

    AzureActivity
| where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
| where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
| project Caller , TimeGenerated , Properties

أضف المزيد من المعلمات إلى الاستعلام لاستكشاف جدول AzureActivities بشكل أكبر، اعتمادًا على ما ترغب بالإبلاغ به. توفر الأقسام التالية نماذج استعلامات أخرى لاستخدامها عند التدقيق مع بيانات جدول AzureActivity.

لمزيد من المعلومات، راجع بيانات Microsoft Azure Sentinel المضمنة في سجلات نشاط Azure.

ابحث عن جميع الإجراءات التي اتخذها مستخدم معين في آخر 24 ساعة

يسرد استعلام جدول AzureActivity التالي جميع الإجراءات التي اتخذها مستخدم Microsoft Entra معين في آخر 24 ساعة.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

ابحث عن جميع عمليات الحذف

يسرد استعلام جدول AzureActivity التالي جميع عمليات الحذف التي تم إجراؤها في مساحة عمل Microsoft Azure Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

بيانات Microsoft Azure Sentinel المضمنة في سجلات نشاط Azure

يتم الاحتفاظ بسجلات تدقيق Microsoft Azure Sentinel في سجلات نشاط Azure، وتتضمن أنواع المعلومات التالية:

العملية أنواع المعلومات
تم الإنشاء قواعد التنبيه
تعليقات الحالة
تعليقات الحادث
عمليات البحث المحفوظة
قوائم المشاهدة
مصنفات
محذوف قواعد التنبيه
الاشارات المرجعيه
موصلات البيانات
الحوادث
عمليات البحث المحفوظة
اعدادات
تقارير التحليل الذكي للمخاطر
قوائم المشاهدة
المصنفات
‏‏سير العمل‬
تم التحديث قواعد التنبيه
الاشارات المرجعيه
الحالات
موصلات البيانات
الحوادث
تعليقات الحادث
تقارير التحليل الذكي للمخاطر
المصنفات
‏‏سير العمل‬

كما يمكنك استخدام سجلات نشاط Azure للتحقق من أذونات المستخدم وتراخيصه.

على سبيل المثال، يسرد الجدول التالي العمليات المحددة الموجودة في سجلات نشاط Azure مع المورد المحدد الذي تسحب بيانات السجل منه.

اسم العملية نوع المورد
أنشئ المُصنف أو حدثه Microsoft.Insights/workbooks
حذف المُصنف Microsoft.Insights/workbooks
تعيين سير العَمل Microsoft.Logic/workflows
حذف سير العَمل Microsoft.Logic/workflows
إنشاء بحث محفوظ Microsoft.OperationalInsights/workspaces/savedSearches
حذف البحث المحفوظ Microsoft.OperationalInsights/workspaces/savedSearches
تحديث قواعِد التنبيه Microsoft.SecurityInsights/alertRules
حذف قواعِد التنبيه Microsoft.SecurityInsights/alertRules
تحديث إجراءات استجابِة قاعدة التنبيه Microsoft.SecurityInsights/alertRules/actions
حذف إجراءات استجابِة قاعدة التنبيه Microsoft.SecurityInsights/alertRules/actions
تحديث الإشارات المرجعيّة Microsoft.SecurityInsights/bookmarks
حذف الإشارات المرجعيّة Microsoft.SecurityInsights/bookmarks
تحديث الحالات Microsoft.SecurityInsights/Cases
تحديث تحقيق الحالة Microsoft.SecurityInsights/Cases/investigations
إنشاء تعليقات حول الحالة Microsoft.SecurityInsights/Cases/comments
تحديث موصّلات البيانات Microsoft.SecurityInsights/dataConnectors
حذف موصّلات البيانات Microsoft.SecurityInsights/dataConnectors
تحديث الإعدادات Microsoft.SecurityInsights/settings

للحصول على مزيد من المعلومات، راجع مخطط سجل أحداث Azure Activity.

التدقيق مستخدمًا LAQueryLogs

يوفر جدول LAQueryLogs تفاصيل حول استعلامات السجل التي تشغل في Log Analytics. نظرًا لاستخدام Log Analytics كمخزن بيانات أساسي لـ Microsoft Azure Sentinel، يمكنك تكوين النظام الخاص بك لجمع بيانات LAQueryLogs في مساحة عمل Microsoft Azure Sentinel.

تتضمّن بيانات LAQueryLogs معلومات مثلما يلي:

  • وقت تشغيل الاستعلامات
  • الشخص الذي شغل الاستعلامات في Log Analytics
  • الأداة التي استخدمت لتشغيل الاستعلامات في Log Analytics، مثل Microsoft Azure Sentinel
  • نصوص الاستعلام نفسها
  • بيانات الأداء بشأن كل تشغيل استعلام

إشعار

  • يتضمن جدول LAQueryLogs الاستعلامات التي شغلت في جزء السجلات في Microsoft Azure Sentinel فحسب. لا يتضمن الاستعلامات التي يتم تشغيلها بواسطة قواعد التحليلات المجدولة، باستخدام Investigation Graph، أو في صفحة Microsoft Sentinel Hunting، أو في صفحة التتبع المتقدم لمدخل Defender.

  • قد يوجد تأخير قصير بين وقت تشغيل الاستعلام وملء البيانات في جدول LAQueryLogs. نوصي بالانتظار لحوالي 5 دقائق للاستعلام عن جدول LAQueryLogs لبيانات التدقيق.

الاستعلام عن جدول LAQueryLogs:

  1. لا يُمكّن جدول LAQueryLogs بشكل افتراضي في مساحة عمل Log Analytics. لاستخدام بيانات LAQueryLogs عند التدقيق في Microsoft Azure Sentinel، قم أولًا بتمكين LAQueryLogs في منطقة إعدادات التشخيص في مساحة عمل Log Analytics.

    لمزيد من المعلومات، راجع تدقيق الاستعلامات في سجلات Azure Monitor.

  2. ثم استعلم عن البيانات باستخدام KQL، كما هو الحال مع أي جدول آخر.

    على سبيل المثال، يوضح الاستعلام التالي عدد الاستعلامات التي شغلت في الأسبوع الماضي، على أساس كل يوم:

    LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by bin(TimeGenerated, 1d)

توضح الأقسام التالية المزيد من نماذج الاستعلامات لتشغيلها على جدول LAQueryLogs عند تدقيق الأنشطة في بيئة SOC باستخدام Microsoft Azure Sentinel.

عدد الاستعلامات التي تُشغّل إذ لم تكن الاستجابة «OK»

يوضح استعلام جدول LAQueryLogs التالي عدد الاستعلامات التي يتم تشغيلها، إذ تم تلقي أي شيء آخر غير استجابة HTTP من 200 OK. على سبيل المثال، سيتضمن هذا الرقم الاستعلامات التي فشل تشغيلها.

LAQueryLogs
| where ResponseCode != 200 
| count

أظهر المستخدمين للاستعلامات كثيفة الاستخدام للمعالج

يسرد استعلام جدول LAQueryLogs التالي المستخدمين الذين أجروا الاستعلامات الأكثر كثافة في المعالج، استنادًا إلى المعالج المستخدم وطول وقت الاستعلام.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

اعرض المستخدمين الذين أجروا أكبر عدد من الاستعلامات الأسبوع الماضي

يسرد استعلام جدول LAQueryLogs التالي المستخدمين الذين أجروا معظم الاستعلامات في الأسبوع الماضي.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

تكوين التنبيهات لأنشطة Microsoft Azure Sentinel

قد تحتاج إلى استخدام موارد تدقيق Microsoft Azure Sentinel لإنشاء تنبيهات استباقية.

على سبيل المثال، إذا كانت لديك جداول حساسة في مساحة عمل Microsoft Azure Sentinel، فاستخدم الاستعلام التالي لإعلامك في كل مرة يتم فيها الاستعلام عن هذه الجداول:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

مراقبة Microsoft Azure Sentinel باستخدام المصنفات والقواعد ودلائل المبادئ

استخدم ميزات Microsoft Azure Sentinel الخاصة لمراقبة الأحداث والإجراءات التي تحدث داخل Microsoft Azure Sentinel.

  • المراقبة باستخدام المُصنفات. يمكن أن تساعدك العديد من مصنفات Microsoft Sentinel المضمنة في مراقبة نشاط مساحة العمل، بما في ذلك معلومات حول المستخدمين الذين يعملون في مساحة العمل الخاصة بك، وقواعد التحليلات المستخدمة، وتكتيكات MITRE الأكثر تغطية، والاستيعابات المتوقفة أو المتوقفة، وأداء فريق SOC.

    لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel ومصنفات Microsoft Sentinel شائعة الاستخدام

  • المراقبة لتأخير الاستيعاب. إذا كانت لديك مخاوف بشأن تأخير الاستيعاب، فعيّن متغير في قاعدة تحليلات لتمثيل التأخير.

    على سبيل المثال، يمكن أن تساعد قاعدة التحليلات التالية في التأكد من أن النتائج لا تتضمن تكرارات وأن السجلات لا تفوت عند تشغيل القواعد:

    let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
- Calculating ingestion delay
  CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct

    لمزيد من المعلومات، راجع أتمتة معالجة الحوادث في Microsoft Azure Sentinel باستخدام قواعد الأتمتة.

  • مراقبة صحة موصّل البيانات باستخدام دليل مبادئ Connector Health Push Notification Solution لمشاهدة الاستيعاب الموقوف أو المتوقف وإرسال إعلامات عندما يتوقف الموصل عن جمع البيانات أو توقف الأجهزة عن إعداد التقارير.

الخطوات التالية

في Microsoft Azure Sentinel، استخدم مصنف تدقيق مساحة العمل لتدقيق الأنشطة في بيئة SOC.

لمزيد من المعلومات، راجع Visualize and monitor your data.