Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak můžete zobrazit data auditu pro spuštěné dotazy a aktivity prováděné v pracovním prostoru Microsoft Sentinel, například pro interní a externí požadavky na dodržování předpisů v pracovním prostoru Operace zabezpečení (SOC).
Microsoft Sentinel poskytuje přístup k:
Tabulka AzureActivity, která poskytuje podrobnosti o všech akcích provedených v Microsoft Sentinel, jako je úprava pravidel upozornění. Tabulka AzureActivity do protokolu neprotokoluje konkrétní data dotazů. Další informace najdete v tématu Auditování s Azure protokoly aktivit.
Tabulka LAQueryLogs, která poskytuje podrobnosti o dotazech spuštěných v Log Analytics, včetně dotazů spouštěných z Microsoft Sentinel. Další informace najdete v tématu Auditování pomocí LAQueryLogs.
Tip
Kromě ručních dotazů popsaných v tomto článku doporučujeme použít integrovaný sešit auditu pracovního prostoru , který vám pomůže auditovat aktivity v prostředí SOC. Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinel.
Požadavky
Než budete moct úspěšně spustit ukázkové dotazy v tomto článku, musíte mít v pracovním prostoru Microsoft Sentinel relevantní data, na které se můžete dotazovat a přistupovat k Microsoft Sentinel.
Další informace najdete v tématech Konfigurace obsahu Microsoft Sentinel a Rolí a oprávnění v Microsoft Sentinel.
Auditování s využitím protokolů aktivit Azure
protokoly auditu Microsoft Sentinel se uchovávají v protokolech aktivit Azure, kde tabulka AzureActivity obsahuje všechny akce provedené v pracovním prostoru Microsoft Sentinel.
Při auditování aktivity v prostředí SOC s Microsoft Sentinel použijte tabulku AzureActivity.
Dotazování tabulky AzureActivity:
Nainstalujte řešení Azure Activity pro Sentinel řešení a připojte konektor Azure Activity Data Connector a spusťte streamování událostí auditu do nové tabulky s názvem
AzureActivity.Dotazujte se na data pomocí dotazovací jazyk Kusto (KQL), jako byste to dělali v jakékoli jiné tabulce:
- V Azure Portal zadejte dotaz na tuto tabulku na stránce Protokoly.
- Na portálu Defender zadejte dotaz na tuto tabulku na stránce Šetření & odpovědi >Rozšířené proaktivní vyhledávání>.
Tabulka AzureActivity obsahuje data z mnoha služeb, včetně Microsoft Sentinel. Pokud chcete filtrovat jenom data z Microsoft Sentinel, spusťte dotaz s následujícím kódem:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Pokud například chcete zjistit, kdo byl posledním uživatelem, který upravil určité analytické pravidlo, použijte následující dotaz (nahraďte
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxID pravidla pravidla, které chcete zkontrolovat):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Přidejte do dotazu další parametry, abyste mohli tabulku AzureActivities prozkoumat podrobněji v závislosti na tom, co potřebujete nahlásit. Následující části obsahují další ukázkové dotazy, které můžete použít při auditování dat tabulky AzureActivity .
Další informace najdete v tématu Microsoft Sentinel data zahrnutá v protokolech aktivit Azure.
Vyhledání všech akcí provedených konkrétním uživatelem za posledních 24 hodin
Následující dotaz tabulky AzureActivity obsahuje seznam všech akcí provedených konkrétním uživatelem Microsoft Entra za posledních 24 hodin.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Vyhledání všech operací odstranění
Následující dotaz tabulky AzureActivity obsahuje seznam všech operací odstranění provedených v pracovním prostoru Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel data zahrnutá v protokolech aktivit Azure
Protokoly auditu Microsoft Sentinel se uchovávají v protokolech aktivit Azure a obsahují následující typy informací:
| Operace | Typy informací |
|---|---|
| Vytvořen | Pravidla upozornění Komentáře k případu Komentáře k incidentu Uložená hledání Seznamy ke zhlédnutí Sešity |
| Deleted | Pravidla upozornění Záložky Datové konektory Incidenty Uložená hledání Možnosti Sestavy analýzy hrozeb Seznamy ke zhlédnutí Sešity Pracovního postupu |
| Aktualizovány | Pravidla upozornění Záložky Případech Datové konektory Incidenty Komentáře k incidentu Sestavy analýzy hrozeb Sešity Pracovního postupu |
Protokoly aktivit Azure můžete také použít ke kontrole uživatelských autorizací a licencí. V následující tabulce jsou například uvedeny vybrané operace nalezené v protokolech aktivit Azure s konkrétním prostředkem, ze který se data protokolu načítá.
| Název operace | Typ prostředku |
|---|---|
| Vytvoření nebo aktualizace sešitu | Microsoft.Insights/workbooks |
| Odstranit sešit | Microsoft.Insights/workbooks |
| Nastavit pracovní postup | Microsoft.Logic/workflows |
| Odstranit pracovní postup | Microsoft.Logic/workflows |
| Vytvořit uložené hledání | Microsoft.OperationalInsights/workspaces/savedSearches |
| Odstranit uložené hledání | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aktualizace pravidel upozornění | Microsoft.SecurityInsights/alertRules |
| Odstranění pravidel upozornění | Microsoft.SecurityInsights/alertRules |
| Aktualizace akcí odpovědí na pravidla upozornění | Microsoft.SecurityInsights/alertRules/actions |
| Odstranění akcí odpovědí na pravidlo upozornění | Microsoft.SecurityInsights/alertRules/actions |
| Aktualizace záložek | Microsoft.SecurityInsights/bookmarks |
| Odstranění záložek | Microsoft.SecurityInsights/bookmarks |
| Případy aktualizace | Microsoft.SecurityInsights/Cases |
| Šetření případu aktualizace | Microsoft.SecurityInsights/Cases/investigations |
| Vytvoření komentářů k případu | Microsoft.SecurityInsights/Cases/comments |
| Aktualizace datových konektorů | Microsoft.SecurityInsights/dataConnectors |
| Odstranění datových konektorů | Microsoft.SecurityInsights/dataConnectors |
| Aktualizovat nastavení | Microsoft.SecurityInsights/settings |
Další informace najdete v tématu Azure schéma událostí protokolu aktivit.
Auditování pomocí LAQueryLogs
Tabulka LAQueryLogs obsahuje podrobnosti o dotazech na protokoly spuštěných v Log Analytics. Vzhledem k tomu, že služba Log Analytics se používá jako podkladové úložiště dat Microsoft Sentinel, můžete systém nakonfigurovat tak, aby v pracovním prostoru Microsoft Sentinel shromažďovali data LAQueryLogs.
Data LAQueryLogs zahrnují například tyto informace:
- Kdy byly dotazy spuštěny
- Kdo spustil dotazy v Log Analytics
- Jaký nástroj se použil ke spouštění dotazů v Log Analytics, například Microsoft Sentinel
- Samotné texty dotazu
- Údaje o výkonu při každém spuštění dotazu
Poznámka
Tabulka LAQueryLogs obsahuje pouze dotazy, které byly spuštěny v okně Protokoly Microsoft Sentinel. Nezahrnuje dotazy spouštěné podle pravidel plánované analýzy pomocí grafu šetření, na stránce proaktivního vyhledávání Microsoft Sentinel ani na stránce Rozšířené proaktivní vyhledávání na portálu Defender.
Mezi spuštěním dotazu a naplněním dat v tabulce LAQueryLogs může být krátká prodleva. Na dotaz na data auditu v tabulce LAQueryLogs doporučujeme počkat přibližně 5 minut.
Dotazování tabulky LAQueryLogs:
Tabulka LAQueryLogs není ve výchozím nastavení ve vašem pracovním prostoru služby Log Analytics povolená. Pokud chcete použít data LAQueryLogs při auditování v Microsoft Sentinel, nejprve povolte laQueryLogs v oblasti nastavení diagnostiky pracovního prostoru služby Log Analytics.
Další informace najdete v tématu Auditování dotazů v protokolech monitorování Azure.
Potom se na data dotazujte pomocí KQL, stejně jako u jakékoli jiné tabulky.
Například následující dotaz ukazuje, kolik dotazů se spustilo za poslední týden za den:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Následující části ukazují další ukázkové dotazy ke spuštění v tabulce LAQueryLogs při auditování aktivit v prostředí SOC pomocí Microsoft Sentinel.
Počet spuštěných dotazů, u kterých odpověď nebyla "OK".
Následující dotaz tabulky LAQueryLogs ukazuje počet spuštěných dotazů, kdy bylo přijato cokoli jiného než odpověď HTTP 200 OK . Toto číslo například zahrnuje dotazy, které se nepodařilo spustit.
LAQueryLogs
| where ResponseCode != 200
| count
Zobrazení uživatelů pro dotazy náročné na procesor
Následující dotaz tabulky LAQueryLogs uvádí uživatele, kteří spustili dotazy s největšími nároky na procesor na základě využití procesoru a délky doby dotazu.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Zobrazit uživatele, kteří spustili nejvíce dotazů za poslední týden
Následující dotaz tabulky LAQueryLogs obsahuje seznam uživatelů, kteří v posledním týdnu spustili nejvíce dotazů.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurace upozornění pro aktivity Microsoft Sentinel
K vytváření proaktivních upozornění můžete použít prostředky Microsoft Sentinel auditování.
Pokud máte například v pracovním prostoru Microsoft Sentinel citlivé tabulky, použijte následující dotaz, který vás upozorní na každý dotaz na tyto tabulky:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorování Microsoft Sentinel pomocí sešitů, pravidel a playbooků
Pomocí vlastních funkcí Microsoft Sentinel můžete monitorovat události a akce, ke kterým dochází v rámci Microsoft Sentinel.
Monitorování pomocí sešitů Několik integrovaných Microsoft Sentinel sešitů vám může pomoct s monitorováním aktivity pracovního prostoru, včetně informací o uživatelích pracujících ve vašem pracovním prostoru, používaných analytických pravidlech, taktikách MITRE, které jsou nejvíce pokryté, zastavené nebo zastavené příjmy dat, a výkonu týmu SOC.
Další informace najdete v tématech Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinel a Běžně používaných Microsoft Sentinel sešitů.
Sledujte zpoždění příjmu dat. Pokud máte obavy o zpoždění příjmu dat, nastavte v analytickém pravidlu proměnnou , která bude toto zpoždění představovat.
Následující analytické pravidlo může například pomoct zajistit, že výsledky nebudou obsahovat duplicity a že při spouštění pravidel nebudou chybět protokoly:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductDalší informace najdete v tématu Automatizace zpracování incidentů v Microsoft Sentinel pomocí pravidel automatizace.
Monitorujte stav datového konektoru pomocí playbooku řešení nabízených oznámení o stavu konektoru a sledujte zastavení nebo zastavení příjmu dat a posílejte oznámení, když konektor přestal shromažďovat data nebo když počítače přestaly hlásit.
Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci k Kusto:
- let – příkaz
- where – operátor
- operátor projektu
- operátor count
- operátor sort
- operátor extend
- operátor join
- Operátor summarize
- ago() – funkce
- ingestion_time()
- agregační funkce count()
- agregační funkce arg_max()
Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).
Další zdroje informací:
Další krok
V Microsoft Sentinel použijte sešit auditování pracovního prostoru k auditování aktivit v prostředí SOC. Další informace najdete v tématu Vizualizace a monitorování dat.