Audit dotazů a aktivit Microsoft Sentinelu
Tento článek popisuje, jak můžete zobrazit data auditu pro dotazy spuštěné a aktivity prováděné v pracovním prostoru Služby Microsoft Sentinel, jako jsou interní a externí požadavky na dodržování předpisů v pracovním prostoru Operace zabezpečení (SOC).
Microsoft Sentinel poskytuje přístup k:
Tabulka AzureActivity , která obsahuje podrobnosti o všech akcích provedených v Microsoft Sentinelu, jako jsou úpravy pravidel upozornění. Tabulka AzureActivity nezapisuje konkrétní data dotazů. Další informace najdete v tématu Auditování s využitím protokolů aktivit Azure.
Tabulka LAQueryLogs , která poskytuje podrobnosti o dotazech spuštěných v Log Analytics, včetně dotazů spuštěných z Microsoft Sentinelu. Další informace najdete v tématu Auditování pomocí LAQueryLogs.
Tip
Kromě ručních dotazů popsaných v tomto článku poskytuje Microsoft Sentinel integrovaný sešit, který vám pomůže auditovat aktivity v prostředí SOC.
V oblasti Sešity Služby Microsoft Sentinel vyhledejte sešit auditu pracovního prostoru.
Auditování s využitím protokolů aktivit Azure
Protokoly auditu Microsoft Sentinelu se uchovávají v protokolech aktivit Azure, kde tabulka AzureActivity zahrnuje všechny akce provedené v pracovním prostoru Microsoft Sentinelu.
Tabulku AzureActivity můžete použít při auditování aktivity v prostředí SOC s Microsoft Sentinelem.
Dotazování tabulky AzureActivity:
PřipojeníZdroj dat aktivit Azure pro zahájení streamování událostí auditu do nové tabulky na obrazovce Protokolů s názvem AzureActivity.
Potom se dotazujte na data pomocí KQL, stejně jako jakoukoli jinou tabulku.
Tabulka AzureActivity obsahuje data z mnoha služeb, včetně Microsoft Sentinelu. Pokud chcete filtrovat jenom data z Microsoft Sentinelu, spusťte dotaz následujícím kódem:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Pokud chcete například zjistit, kdo byl posledním uživatelem pro úpravu konkrétního analytického pravidla, použijte následující dotaz (nahraďte
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxID pravidla pravidla, které chcete zkontrolovat):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Přidejte do dotazu další parametry a prozkoumejte tabulku AzureActivities v závislosti na tom, co potřebujete nahlásit. Následující části obsahují další ukázkové dotazy, které se mají použít při auditování s daty tabulky AzureActivity .
Další informace najdete v tématu Data služby Microsoft Sentinel zahrnutá v protokolech aktivit Azure.
Vyhledání všech akcí provedených konkrétním uživatelem za posledních 24 hodin
Následující dotaz tabulky AzureActivity uvádí všechny akce prováděné konkrétním uživatelem Microsoft Entra za posledních 24 hodin.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Vyhledání všech operací odstranění
Následující dotaz tabulky AzureActivity obsahuje seznam všech operací odstranění provedených v pracovním prostoru Služby Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Data Služby Microsoft Sentinel zahrnutá v protokolech aktivit Azure
Protokoly auditu Služby Microsoft Sentinel se uchovávají v protokolech aktivit Azure a zahrnují následující typy informací:
| Operace | Typy informací |
|---|---|
| Vytvořeno | Pravidla upozornění Komentáře k případu Komentáře k incidentu Uložená hledání Seznamy ke zhlédnutí Workbooks |
| Odstraněno | Pravidla upozornění Záložky Datové konektory Incidenty Uložená hledání Nastavení Sestavy analýzy hrozeb Seznamy ke zhlédnutí Sešity Workflow |
| Aktualizováno | Pravidla upozornění Záložky Případech Datové konektory Incidenty Komentáře k incidentu Sestavy analýzy hrozeb Sešity Workflow |
Protokoly aktivit Azure můžete také použít ke kontrole autorizací a licencí uživatelů.
Například následující tabulka uvádí vybrané operace nalezené v protokolech aktivit Azure s konkrétním prostředkem, ze které se načítá data protokolu.
| Název operace | Typ prostředku |
|---|---|
| Vytvoření nebo aktualizace sešitu | Microsoft. Přehledy/sešity |
| Odstranění sešitu | Microsoft. Přehledy/sešity |
| Nastavit pracovní postup | Microsoft.Logic/workflows |
| Odstranit pracovní postup | Microsoft.Logic/workflows |
| Vytvoření uloženého hledání | Microsoft.Operational Přehledy/workspaces/savedSearches |
| Odstranění uloženého hledání | Microsoft.Operational Přehledy/workspaces/savedSearches |
| Aktualizace pravidel upozornění | Microsoft.Security Přehledy/alertRules |
| Odstranění pravidel upozornění | Microsoft.Security Přehledy/alertRules |
| Aktualizace akcí odpovědi pravidla upozornění | Microsoft.Security Přehledy/alertRules/actions |
| Odstranění akcí odpovědi pravidla upozornění | Microsoft.Security Přehledy/alertRules/actions |
| Aktualizace záložek | Microsoft.Security Přehledy/bookmarks |
| Odstranění záložek | Microsoft.Security Přehledy/bookmarks |
| Případy aktualizace | Microsoft.Security Přehledy/Cases |
| Šetření případu aktualizace | Microsoft.Security Přehledy/Cases/investigations |
| Vytváření komentářů k případu | Microsoft.Security Přehledy/Cases/comments |
| Aktualizace datových konektorů | Microsoft.Security Přehledy/data Připojení ors |
| Odstranění datových konektorů | Microsoft.Security Přehledy/data Připojení ors |
| Aktualizace nastavení | Microsoft.Security Přehledy/settings |
Další informace najdete v tématu Schéma událostí protokolu aktivit Azure.
Auditování pomocí LAQueryLogs
Tabulka LAQueryLogs obsahuje podrobnosti o dotazech protokolu spuštěných v Log Analytics. Vzhledem k tomu, že log Analytics se používá jako základní úložiště dat Microsoft Sentinelu, můžete svůj systém nakonfigurovat tak, aby shromažďovat data LAQueryLogs v pracovním prostoru Microsoft Sentinelu.
Data LAQueryLogs obsahují například tyto informace:
- Při spuštění dotazů
- Kdo spouštěné dotazy v Log Analytics
- Jaký nástroj se použil ke spouštění dotazů v Log Analytics, jako je Microsoft Sentinel
- Samotné texty dotazů
- Údaje o výkonu při každém spuštění dotazu
Poznámka:
- Tabulka LAQueryLogs obsahuje pouze dotazy, které byly spuštěny v okně Protokoly služby Microsoft Sentinel. Nezahrnuje dotazy spouštěné podle plánovaných analytických pravidel, a to pomocí grafu šetření nebo na stránce proaktivního vyhledávání služby Microsoft Sentinel.
- Mezi časem spuštění dotazu může dojít k krátké prodlevě a data se vyplní v tabulce LAQueryLogs . Doporučujeme počkat přibližně 5 minut na dotazování tabulky LAQueryLogs na data auditu.
Dotazování na tabulku LAQueryLogs:
Tabulka LAQueryLogs není ve výchozím nastavení v pracovním prostoru služby Log Analytics povolená. Pokud chcete při auditování v Microsoft Sentinelu použít data LAQueryLogs, nejprve povolte protokoly LAQueryLogs v oblasti Nastavení diagnostiky pracovního prostoru služby Log Analytics.
Další informace najdete v tématu Auditování dotazů v protokolech služby Azure Monitor.
Potom se dotazujte na data pomocí KQL, stejně jako jakoukoli jinou tabulku.
Následující dotaz například ukazuje, kolik dotazů se v posledním týdnu spustilo za den:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Následující části ukazují další ukázkové dotazy, které se mají spouštět v tabulce LAQueryLogs při auditování aktivit v prostředí SOC pomocí Služby Microsoft Sentinel.
Počet spuštěných dotazů, ve kterých odpověď nebyla "OK"
Následující dotaz tabulky LAQueryLogs zobrazuje počet spuštěných dotazů, kde byl přijat cokoli jiného než odpověď HTTP 200 OK . Toto číslo bude obsahovat například dotazy, které se nepodařilo spustit.
LAQueryLogs
| where ResponseCode != 200
| count
Zobrazení uživatelů pro dotazy náročné na procesor
Následující dotaz tabulky LAQueryLogs obsahuje seznam uživatelů, kteří spustili dotazy náročné na procesor na základě využití procesoru a délky doby dotazování.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Zobrazení uživatelů, kteří v minulém týdnu spustili nejvíce dotazů
Následující dotaz tabulky LAQueryLogs uvádí uživatele, kteří v posledním týdnu spustili nejvíce dotazů.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurace upozornění pro aktivity Služby Microsoft Sentinel
K vytváření proaktivních upozornění můžete použít prostředky auditování služby Microsoft Sentinel.
Pokud máte například v pracovním prostoru Microsoft Sentinel citlivé tabulky, použijte následující dotaz, který vás upozorní při každém dotazování těchto tabulek:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorování Microsoft Sentinelu pomocí sešitů, pravidel a playbooků
Pomocí vlastních funkcí Microsoft Sentinelu můžete monitorovat události a akce, ke kterým dochází v rámci Microsoft Sentinelu.
Monitorujte pomocí sešitů. Následující sešity byly vytvořeny pro monitorování aktivity pracovního prostoru:
- Auditování pracovního prostoru Obsahuje informace o tom, kteří uživatelé v prostředí provádějí akce, které provedli, a další.
- Efektivita analýzy Poskytuje přehled o tom, jaká analytická pravidla se používají, na které se nejvíce vztahují taktiky MITRE, a incidenty vygenerované z pravidel.
- Efektivita operací zabezpečení Zobrazuje metriky týkající se výkonu týmu SOC, otevřených incidentů, uzavřených incidentů a dalších. Tento sešit lze použít k zobrazení výkonu týmu a zvýraznění všech oblastí, které by mohly vyžadovat pozornost.
- Monitorování stavu shromažďování dat Pomáhá sledovat zastavení nebo zastavení příjmu dat.
Další informace najdete v tématu Běžně používané sešity Microsoft Sentinelu.
Sledujte zpoždění příjmu dat. Pokud máte obavy o zpoždění příjmu dat, nastavte proměnnou v analytickém pravidle tak, aby představovala zpoždění.
Následující analytické pravidlo může například pomoct zajistit, aby výsledky nezahrnovaly duplicity a aby se při spouštění pravidel nezmeškaly protokoly:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductDalší informace najdete v tématu Automatizace zpracování incidentů v Microsoft Sentinelu pomocí pravidel automatizace.
Monitorujte stav datového konektoru pomocí playbooku Připojení or Health Push Notification Solution a sledujte zastavení nebo zastavení příjmu dat a odesílání oznámení, když konektor přestal shromažďovat data nebo počítače, přestaly hlásit.
Další kroky
V Microsoft Sentinelu použijte sešit auditu pracovního prostoru k auditování aktivit ve vašem prostředí SOC.
Další informace najdete v tématu Vizualizace a monitorování dat.