Overvåg Microsoft Sentinel forespørgsler og aktiviteter

I denne artikel beskrives det, hvordan du kan få vist overvågningsdata for forespørgsler, der kører, og aktiviteter, der udføres i dit Microsoft Sentinel arbejdsområde, f.eks. i forbindelse med interne og eksterne overholdelseskrav i dit SOC-arbejdsområde (Security Operations).

Microsoft Sentinel giver adgang til:

• Tabellen AzureActivity, som indeholder oplysninger om alle handlinger, der udføres i Microsoft Sentinel, f.eks. redigering af beskedregler. Tabellen AzureActivity logfører ikke specifikke forespørgselsdata. Du kan finde flere oplysninger under Overvågning med Azure Aktivitetslogge.

• Tabellen LAQueryLogs, som indeholder oplysninger om de forespørgsler, der kører i Log Analytics, herunder forespørgsler, der køres fra Microsoft Sentinel. Du kan finde flere oplysninger under Overvågning med LAQueryLogs.

Tip

Ud over de manuelle forespørgsler, der er beskrevet i denne artikel, anbefaler vi, at du bruger den indbyggede arbejdsområderevisionsprojektmappe , der hjælper dig med at overvåge aktiviteterne i dit SOC-miljø. Du kan få flere oplysninger under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.

Forudsætninger

• Før du kan køre eksempelforespørgslerne i denne artikel, skal du have relevante data i dit Microsoft Sentinel arbejdsområde for at forespørge på og få adgang til Microsoft Sentinel.

  Du kan få flere oplysninger under Konfigurer Microsoft Sentinel indhold og roller og tilladelser i Microsoft Sentinel.

Overvågning med Azure aktivitetslogge

Microsoft Sentinel overvågningslogge vedligeholdes i Azure Aktivitetslogge, hvor tabellen AzureActivity indeholder alle de handlinger, der udføres i dit Microsoft Sentinel arbejdsområde.

Brug tabellen AzureActivity, når du overvåger aktivitet i dit SOC-miljø med Microsoft Sentinel.

Sådan forespørger du i tabellen AzureActivity:

1. Installér Azure Activity-løsningen til Sentinel løsning, og forbind dataconnectoren Azure Activity for at starte streaming af overvågningshændelser i en ny tabel med navnet AzureActivity.

2. Forespørg dataene ved hjælp af KQL (Kusto Query Language), som du ville gøre med en hvilken som helst anden tabel:

   • I Azure Portal skal du forespørge denne tabel på siden Logge.
   • På Defender-portalen skal du forespørge i denne tabel på siden Undersøgelse & svar > På >avanceret jagt .

   Tabellen AzureActivity indeholder data fra mange tjenester, herunder Microsoft Sentinel. Hvis du kun vil filtrere data fra Microsoft Sentinel, skal du starte forespørgslen med følgende kode:

    AzureActivity
   | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
   

   Hvis du f.eks. vil finde ud af, hvem der var den sidste bruger, der redigerede en bestemt analyseregel, skal du bruge følgende forespørgsel (erstatning xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx med regel-id'et for den regel, du vil kontrollere):

   AzureActivity
   | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
   | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   | project Caller , TimeGenerated , Properties
   

Føj flere parametre til din forespørgsel for at udforske tabellen AzureActivities yderligere, afhængigt af hvad du skal rapportere. Følgende afsnit indeholder andre eksempelforespørgsler, der skal bruges, når der overvåges med azureActivity-tabeldata .

Du kan finde flere oplysninger under Microsoft Sentinel data, der er inkluderet i Azure Aktivitetslogge.

Find alle handlinger, der er udført af en bestemt bruger inden for de seneste 24 timer

Følgende forespørgsel i tabellen AzureActivity viser alle handlinger, der er udført af en bestemt Microsoft Entra bruger inden for de seneste 24 timer.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Find alle slettehandlinger

Følgende forespørgsel i tabellen AzureActivity viser alle de slettehandlinger, der er udført i dit Microsoft Sentinel arbejdsområde.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

Microsoft Sentinel data, der er inkluderet i Azure aktivitetslogge

Microsoft Sentinel overvågningslogge vedligeholdes i Azure aktivitetslogge og indeholder følgende typer oplysninger:

Drift	Oplysningstyper
Lavet	Påmindelsesregler Sagskommentarer Kommentarer til hændelser Gemte søgninger Visningslister Projektmapper
Slettet	Påmindelsesregler Bogmærker Dataconnectors Hændelser Gemte søgninger Indstillinger Rapporter over trusselsintelligens Visningslister Projektmapper Arbejdsproces
Opdateret	Påmindelsesregler Bogmærker Tilfælde Dataconnectors Hændelser Kommentarer til hændelser Rapporter over trusselsintelligens Projektmapper Arbejdsproces

Du kan også bruge Azure Aktivitetslogge til at kontrollere, om der er brugergodkendelser og licenser. Følgende tabel viser f.eks. de valgte handlinger, der blev fundet i Azure Aktivitetslogge med den specifikke ressource, som logdataene hentes fra.

Handlingsnavn	Ressourcetype
Opret eller opdater projektmappe	Microsoft.Insights/projektmapper
Slet projektmappe	Microsoft.Insights/projektmapper
Angiv arbejdsproces	Microsoft.Logic/arbejdsprocesser
Slet arbejdsproces	Microsoft.Logic/arbejdsprocesser
Opret gemt søgning	Microsoft.OperationalInsights/workspaces/savedSearches
Slet gemt søgning	Microsoft.OperationalInsights/workspaces/savedSearches
Opdater regler for beskeder	Microsoft.SecurityInsights/alertRules
Slet regler for beskeder	Microsoft.SecurityInsights/alertRules
Opdater svarhandlinger for påmindelsesregel	Microsoft.SecurityInsights/alertRules/actions
Slet svarhandlinger for påmindelsesregel	Microsoft.SecurityInsights/alertRules/actions
Opdater bogmærker	Microsoft.SecurityInsights/bogmærker
Slet bogmærker	Microsoft.SecurityInsights/bogmærker
Opdater sager	Microsoft.SecurityInsights/Cases
Opdater undersøgelse af sag	Microsoft.SecurityInsights/Cases/investigations
Opret sagskommentarer	Microsoft.SecurityInsights/Cases/comments
Opdater dataconnectors	Microsoft.SecurityInsights/dataConnectors
Slet dataconnectors	Microsoft.SecurityInsights/dataConnectors
Opdateringsindstillinger	Microsoft.SecurityInsights/indstillinger

Du kan få flere oplysninger i hændelsesskemaet Azure aktivitetslog.

Overvågning med LAQueryLogs

Tabellen LAQueryLogs indeholder oplysninger om logforespørgsler, der kører i Log Analytics. Da Log Analytics bruges som Microsoft Sentinel underliggende datalager, kan du konfigurere dit system til at indsamle LAQueryLogs-data i dit Microsoft Sentinel arbejdsområde.

LAQueryLogs-data indeholder oplysninger som f.eks.:

• Da forespørgslerne blev kørt
• Hvem kørte forespørgsler i Log Analytics
• Hvilket værktøj blev brugt til at køre forespørgsler i Log Analytics, f.eks. Microsoft Sentinel
• Selve forespørgselsteksterne
• Ydeevnedata for hver forespørgselskørsel

Bemærk!

• Tabellen LAQueryLogs indeholder kun forespørgsler, der er blevet kørt på bladet Logge i Microsoft Sentinel. Den omfatter ikke de forespørgsler, der køres af planlagte analyseregler, ved hjælp af Undersøgelsesdiagram, på siden Microsoft Sentinel Jagt eller på siden Avanceret jagt på Defender-portalen.

• Der kan være en kort forsinkelse mellem det tidspunkt, hvor en forespørgsel køres, og dataene udfyldes i tabellen LAQueryLogs . Vi anbefaler, at du venter ca. 5 minutter på at forespørge tabellen LAQueryLogs om overvågningsdata.

Sådan forespørger du i tabellen LAQueryLogs:

1. Tabellen LAQueryLogs er ikke aktiveret som standard i dit Log Analytics-arbejdsområde. Hvis du vil bruge LAQueryLogs-data, når du overvåges i Microsoft Sentinel, skal du først aktivere LAQueryLogs i området indstillinger for Diagnosticering i dit Log Analytics-arbejdsområde.

   Du kan finde flere oplysninger under Overvåg forespørgsler i Azure Overvåg logge.

2. Forespørg derefter dataene ved hjælp af KQL, som du ville gøre med en hvilken som helst anden tabel.

   Følgende forespørgsel viser f.eks., hvor mange forespørgsler der blev kørt i den sidste uge pr. dag:

   LAQueryLogs
   | where TimeGenerated > ago(7d)
   | summarize events_count=count() by bin(TimeGenerated, 1d)
   

I følgende afsnit vises flere eksempelforespørgsler, der skal køres på tabellen LAQueryLogs, når du overvåger aktiviteter i dit SOC-miljø ved hjælp af Microsoft Sentinel.

Antallet af forespørgsler, der kører, hvor svaret ikke var "OK"

Følgende LAQueryLogs-tabelforespørgsel viser antallet af kørte forespørgsler, hvor alt andet end et HTTP-svar på 200 OK blev modtaget. Dette tal omfatter f.eks. forespørgsler, der ikke kunne køres.

LAQueryLogs
| where ResponseCode != 200 
| count 

Vis brugere til CPU-krævende forespørgsler

Følgende LAQueryLogs-tabelforespørgsel viser de brugere, der kørte de mest CPU-intensive forespørgsler baseret på den anvendte CPU og forespørgselstidens længde.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc

Vis de brugere, der har kørt flest forespørgsler i den seneste uge

I følgende tabelforespørgsel i TABELLEN LAQueryLogs vises de brugere, der kørte flest forespørgsler i den sidste uge.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Konfiguration af beskeder for Microsoft Sentinel aktiviteter

Det kan være en god idé at bruge Microsoft Sentinel overvågningsressourcer til at oprette proaktive beskeder.

Hvis du f.eks. har følsomme tabeller i dit Microsoft Sentinel arbejdsområde, skal du bruge følgende forespørgsel til at give dig besked, hver gang disse tabeller forespørges:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Overvåg Microsoft Sentinel med projektmapper, regler og playbooks

Brug Microsoft Sentinel egne funktioner til at overvåge hændelser og handlinger, der forekommer i Microsoft Sentinel.

• Overvåg med projektmapper. Flere indbyggede Microsoft Sentinel projektmapper kan hjælpe dig med at overvåge arbejdsområdeaktivitet, herunder oplysninger om de brugere, der arbejder i dit arbejdsområde, de analyseregler, der bruges, MITRE-taktikken, der er mest dækket, gået i stå eller stoppet indtagelser, og SOC-teamets ydeevne.

  Du kan få flere oplysninger under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel og ofte anvendte Microsoft Sentinel projektmapper

• Hold øje med indtagelsesforsinkelse. Hvis du har bekymringer om forsinkelse ved indtagelse, skal du angive en variabel i en analyseregel for at repræsentere forsinkelsen.

  Følgende analyseregel kan f.eks. hjælpe med at sikre, at resultaterne ikke indeholder dubletter, og at loggene ikke overses, når reglerne køres:

  let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
  - Calculating ingestion delay
    CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
  

  Du kan få flere oplysninger under Automatiser håndtering af hændelser i Microsoft Sentinel med automatiseringsregler.

• Overvåg tilstanden af dataconnectoren ved hjælp af playbooken for pushmeddelelsesløsningen for connectortilstand for at se, om data er gået i stå eller stoppet med at indtages, og sende meddelelser, når en connector er holdt op med at indsamle data, eller maskiner er holdt op med at rapportere.

Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

• let-sætning
• where-operator
• projektoperatør
• optællingsoperator
• sorteringsoperator
• udvid-operator
• joinoperator
• opsummeringsoperator
• funktionen ago()
• funktionen ingestion_time()
• count() sammenlægningsfunktion
• arg_max() sammenlægningsfunktion

Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

Andre ressourcer:

• Hurtig reference til KQL
• Kusto-undervisningsressourcer til forespørgselssprog

Næste trin

I Microsoft Sentinel skal du bruge arbejdsområdets overvågningsprojektmappe til at overvåge aktiviteterne i dit SOC-miljø. Du kan få flere oplysninger under Visualiser og overvåg dine data.