Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Überwachungsdaten für Ausgeführte Abfragen und Aktivitäten in Ihrem Microsoft Sentinel Arbeitsbereich anzeigen können, z. B. für interne und externe Complianceanforderungen in Ihrem SoC-Arbeitsbereich (Security Operations).
Microsoft Sentinel bietet Zugriff auf:
Die Tabelle AzureActivity enthält Details zu allen Aktionen, die in Microsoft Sentinel ausgeführt werden, z. B. das Bearbeiten von Warnungsregeln. Die AzureActivity-Tabelle protokolliert keine spezifischen Abfragedaten. Weitere Informationen finden Sie unter Überwachung mit Azure Aktivitätsprotokollen.
Die Tabelle LAQueryLogs, die Details zu den in Log Analytics ausgeführten Abfragen enthält, einschließlich Abfragen, die über Microsoft Sentinel ausgeführt werden. Weitere Informationen finden Sie unter Überwachung mit LAQueryLogs.
Tipp
Zusätzlich zu den in diesem Artikel beschriebenen manuellen Abfragen empfiehlt es sich, die integrierte Arbeitsbereichsüberwachungsarbeitsmappe zu verwenden, um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Voraussetzungen
Bevor Sie die Beispielabfragen in diesem Artikel erfolgreich ausführen können, müssen Sie über relevante Daten in Ihrem Microsoft Sentinel Arbeitsbereich verfügen, um abfragen und auf Microsoft Sentinel zugreifen zu können.
Weitere Informationen finden Sie unter Konfigurieren von Microsoft Sentinel Inhaltenund Rollen und Berechtigungen in Microsoft Sentinel.
Überwachung mit Azure Aktivitätsprotokollen
die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure Aktivitätsprotokollen verwaltet, wobei die AzureActivity-Tabelle alle Aktionen enthält, die in Ihrem Microsoft Sentinel Arbeitsbereich ausgeführt werden.
Verwenden Sie die AzureActivity-Tabelle, wenn Sie Aktivitäten in Ihrer SOC-Umgebung mit Microsoft Sentinel überwachen.
So fragen Sie die AzureActivity-Tabelle ab:
Installieren Sie die Azure-Aktivitätslösung für Sentinel Lösung, und verbinden Sie den Azure Activity-Datenconnector, um das Streamen von Überwachungsereignissen in eine neue Tabelle namens
AzureActivityzu starten.Fragen Sie die Daten wie jede andere Tabelle mit Kusto-Abfragesprache (KQL) ab:
- Fragen Sie im Azure-Portal diese Tabelle auf der Seite Protokolle ab.
- Fragen Sie im Defender-Portal diese Tabelle auf der Seite Untersuchung & Antwort > Hunting >Advanced hunting ab .
Die AzureActivity-Tabelle enthält Daten aus vielen Diensten, einschließlich Microsoft Sentinel. Um nur Daten aus Microsoft Sentinel zu filtern, starten Sie ihre Abfrage mit dem folgenden Code:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Um beispielsweise herauszufinden, wer der letzte Benutzer war, der eine bestimmte Analyseregel bearbeitet hat, verwenden Sie die folgende Abfrage (ersetzen
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxSie durch die Regel-ID der Regel, die Sie überprüfen möchten):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Fügen Sie Ihrer Abfrage weitere Parameter hinzu, um die AzureActivities-Tabelle weiter zu untersuchen, je nachdem, was Sie melden müssen. Die folgenden Abschnitte enthalten weitere Beispielabfragen, die bei der Überwachung mit AzureActivity-Tabellendaten verwendet werden können.
Weitere Informationen finden Sie unter Microsoft Sentinel in Azure Aktivitätsprotokollen enthaltenen Daten.
Suchen aller Aktionen, die von einem bestimmten Benutzer in den letzten 24 Stunden ausgeführt wurden
Die folgende AzureActivity-Tabellenabfrage listet alle Aktionen auf, die von einem bestimmten Microsoft Entra Benutzer in den letzten 24 Stunden ausgeführt wurden.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Suchen aller Löschvorgänge
Die folgende AzureActivity-Tabellenabfrage listet alle Löschvorgänge auf, die in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt werden.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel in Azure-Aktivitätsprotokollen enthaltenen Daten
die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure Aktivitätsprotokollen verwaltet und enthalten die folgenden Arten von Informationen:
| Vorgang | Informationstypen |
|---|---|
| Erstellt | Warnungsregeln Fallkommentare Incidentkommentare Gespeicherte Suchvorgänge Watchlists Arbeitsmappen |
| Gelöscht | Warnungsregeln Lesezeichen Datenconnectors Vorfälle Gespeicherte Suchvorgänge Einstellungen Threat Intelligence-Berichte Watchlists Arbeitsmappen Workflow |
| Updated | Warnungsregeln Lesezeichen Fällen Datenconnectors Vorfälle Incidentkommentare Threat Intelligence-Berichte Arbeitsmappen Workflow |
Sie können auch die Azure Aktivitätsprotokolle verwenden, um nach Benutzerautorisierungen und Lizenzen zu suchen. In der folgenden Tabelle sind beispielsweise ausgewählte Vorgänge in Azure Aktivitätsprotokollen mit der spezifischen Ressource aufgeführt, aus der die Protokolldaten abgerufen werden.
| Vorgangsname | Ressourcentyp |
|---|---|
| Erstellen oder Aktualisieren einer Arbeitsmappe | Microsoft.Insights/workbooks |
| Arbeitsmappe löschen | Microsoft.Insights/workbooks |
| Workflow festlegen | Microsoft.Logic/workflows |
| Workflow löschen | Microsoft.Logic/workflows |
| Erstellen einer gespeicherten Suche | Microsoft.OperationalInsights/workspaces/savedSearches |
| Gespeicherte Suche löschen | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aktualisieren von Warnungsregeln | Microsoft.SecurityInsights/alertRules |
| Löschen von Warnungsregeln | Microsoft.SecurityInsights/alertRules |
| Aktualisieren von Warnungsregelantwortaktionen | Microsoft.SecurityInsights/alertRules/actions |
| Warnungsregelantwortaktionen löschen | Microsoft.SecurityInsights/alertRules/actions |
| Aktualisieren von Lesezeichen | Microsoft.SecurityInsights/bookmarks |
| Lesezeichen löschen | Microsoft.SecurityInsights/bookmarks |
| Updatefälle | Microsoft.SecurityInsights/Cases |
| Falluntersuchung aktualisieren | Microsoft.SecurityInsights/Cases/investigations |
| Erstellen von Fallkommentaren | Microsoft.SecurityInsights/Cases/comments |
| Aktualisieren von Datenconnectors | Microsoft.SecurityInsights/dataConnectors |
| Löschen von Datenconnectors | Microsoft.SecurityInsights/dataConnectors |
| Einstellungen aktualisieren | Microsoft.SecurityInsights/settings |
Weitere Informationen finden Sie unter Azure Aktivitätsprotokollereignisschema.
Überwachung mit LAQueryLogs
Die Tabelle LAQueryLogs enthält Details zu Protokollabfragen, die in Log Analytics ausgeführt werden. Da Log Analytics als zugrunde liegender Datenspeicher Microsoft Sentinel verwendet wird, können Sie Ihr System so konfigurieren, dass LAQueryLogs-Daten in Ihrem Microsoft Sentinel Arbeitsbereich gesammelt werden.
LAQueryLogs-Daten enthalten Informationen wie:
- Zeitpunkt der Ausführung von Abfragen
- Wer hat Abfragen in Log Analytics ausgeführt?
- Welches Tool wurde zum Ausführen von Abfragen in Log Analytics verwendet, z. B. Microsoft Sentinel
- Die Abfragetexte selbst
- Leistungsdaten bei jeder Abfrageausführung
Hinweis
Die Tabelle LAQueryLogs enthält nur Abfragen, die auf dem Blatt Protokolle von Microsoft Sentinel ausgeführt wurden. Sie enthält nicht die Abfragen, die von geplanten Analyseregeln ausgeführt werden, mithilfe des Untersuchungsdiagramms, auf der Seite Microsoft Sentinel Hunting oder auf der Seite Erweiterte Suche im Defender-Portal.
Zwischen der Ausführung einer Abfrage und dem Auffüllen der Daten in der TABELLE LAQueryLogs kann es zu einer kurzen Verzögerung kommen. Es wird empfohlen, etwa 5 Minuten zu warten, um die TABELLE LAQueryLogs nach Überwachungsdaten abzufragen.
So fragen Sie die LAQueryLogs-Tabelle ab:
Die TABELLE LAQueryLogs ist in Ihrem Log Analytics-Arbeitsbereich nicht standardmäßig aktiviert. Um LAQueryLogs-Daten bei der Überwachung in Microsoft Sentinel zu verwenden, aktivieren Sie zunächst die LAQueryLogs im Bereich Diagnoseeinstellungen Ihres Log Analytics-Arbeitsbereichs.
Weitere Informationen finden Sie unter Überwachungsabfragen in Azure Monitor-Protokollen.
Fragen Sie dann die Daten wie jede andere Tabelle mithilfe von KQL ab.
Die folgende Abfrage zeigt beispielsweise, wie viele Abfragen pro Tag in der letzten Woche ausgeführt wurden:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
In den folgenden Abschnitten werden weitere Beispielabfragen für die LaQueryLogs-Tabelle beim Überwachen von Aktivitäten in Ihrer SOC-Umgebung mit Microsoft Sentinel gezeigt.
Die Anzahl der ausgeführten Abfragen, bei denen die Antwort nicht "OK" lautete
Die folgende LAQueryLogs-Tabellenabfrage zeigt die Anzahl der ausgeführten Abfragen an, bei denen alles andere als die HTTP-Antwort 200 OK empfangen wurde. Diese Anzahl umfasst z. B. Abfragen, die nicht ausgeführt werden konnten.
LAQueryLogs
| where ResponseCode != 200
| count
Anzeigen von Benutzern für CPU-intensive Abfragen
Die folgende LAQueryLogs-Tabellenabfrage listet die Benutzer auf, die die CPU-intensiven Abfragen ausgeführt haben, basierend auf der verwendeten CPU und der Dauer der Abfragezeit.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Anzeigen von Benutzern, die in der letzten Woche die meisten Abfragen ausgeführt haben
Die folgende LAQueryLogs-Tabellenabfrage listet die Benutzer auf, die in der letzten Woche die meisten Abfragen ausgeführt haben.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurieren von Warnungen für Microsoft Sentinel Aktivitäten
Möglicherweise möchten Sie Microsoft Sentinel Überwachungsressourcen verwenden, um proaktive Warnungen zu erstellen.
Wenn in Ihrem Microsoft Sentinel Arbeitsbereich beispielsweise vertrauliche Tabellen vorhanden sind, verwenden Sie die folgende Abfrage, um Sie bei jeder Abfrage dieser Tabellen zu benachrichtigen:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Überwachen Microsoft Sentinel mit Arbeitsmappen, Regeln und Playbooks
Verwenden Sie Microsoft Sentinel eigenen Features, um Ereignisse und Aktionen zu überwachen, die in Microsoft Sentinel auftreten.
Überwachen mit Arbeitsmappen. Mehrere integrierte Microsoft Sentinel Arbeitsmappen können Sie bei der Überwachung von Arbeitsbereichsaktivitäten unterstützen, einschließlich Informationen zu den Benutzern, die in Ihrem Arbeitsbereich arbeiten, den verwendeten Analyseregeln, den am meisten abgedeckten MITRE-Taktiken, der verzögerten oder beendeten Erfassungen und der Leistung des SOC-Teams.
Weitere Informationen finden Sie unter Visualisieren und Überwachen von Daten mithilfe von Arbeitsmappen in Microsoft Sentinel und häufig verwendeten Microsoft Sentinel Arbeitsmappen.
Achten Sie auf die Erfassungsverzögerung. Wenn Sie Bedenken bezüglich der Erfassungsverzögerung haben, legen Sie eine Variable in einer Analyseregel fest, die die Verzögerung darstellt.
Mit der folgenden Analyseregel kann beispielsweise sichergestellt werden, dass die Ergebnisse keine Duplikate enthalten und protokolle beim Ausführen der Regeln nicht übersehen werden:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductWeitere Informationen finden Sie unter Automatisieren der Incidentbehandlung in Microsoft Sentinel mit Automatisierungsregeln.
Überwachen Sie die Integrität des Datenconnectors mithilfe des Playbooks " Connector Health Push Notification Solution ", um auf eine verzögerte oder beendete Erfassung zu achten, und senden Sie Benachrichtigungen, wenn ein Connector keine Daten mehr erfasst hat oder Computer keine Berichte mehr melden.
Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:
- let-Anweisung
- where-Operator
- Projektoperator
- count-Operator
- Sortieroperator
- Extend-Operator
- Joinoperator
- summarize-Operator
- ago() -Funktion
- ingestion_time() -Funktion
- count() -Aggregationsfunktion
- arg_max() -Aggregationsfunktion
Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).
Weitere Ressourcen:
Nächster Schritt
Verwenden Sie in Microsoft Sentinel die Arbeitsmappe "Arbeitsbereichsüberwachung", um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.