Mengaudit kueri dan aktivitas Microsoft Azure Sentinel
Artikel ini menjelaskan bagaimana Anda dapat melihat data audit untuk kueri yang dijalankan dan aktivitas yang dilakukan di ruang kerja Microsoft Azure Sentinel Anda, seperti untuk persyaratan kepatuhan internal dan eksternal di ruang kerja Operasi Keamanan (SOC) Anda.
Microsoft Sentinel menyediakan akses ke:
Tabel AzureActivity, yang memberikan rincian tentang semua tindakan yang diambil di Microsoft Azure Sentinel, seperti mengedit aturan peringatan. Tabel AzureActivity tidak mencatat data kueri tertentu. Untuk informasi selengkapnya, lihat Mengaudit dengan log Azure Activity.
Tabel LAQueryLogs, yang memberikan rincian tentang kueri yang dijalankan di Analitik Log, termasuk kueri yang dijalankan dari Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengaudit dengan LAQueryLogs.
Tip
Selain kueri manual yang dijelaskan dalam artikel ini, Microsoft Azure Sentinel menyediakan buku kerja bawaan untuk membantu Anda mengaudit aktivitas di lingkungan SOC Anda.
Di area Buku kerja Microsoft Azure Sentinel, cari buku kerja audit Ruang Kerja.
Mengaudit dengan log Aktivitas Azure
Log audit Microsoft Azure Sentinel disimpan di Log Aktivitas Azuredi mana tabel AzureActivity mencakup semua tindakan yang diambil di ruang kerja Microsoft Azure Sentinel Anda.
Anda dapat menggunakan tabel AzureActivity saat mengaudit aktivitas di lingkungan SOC Anda dengan Microsoft Azure Sentinel.
Untuk membuat kueri tabel AzureActivity:
Sambungkan sumber data Aktivitas Azure untuk memulai streaming peristiwa audit ke dalam tabel baru di layar Log yang disebut AzureActivity.
Kemudian, buat kueri data menggunakan KQL, seperti yang Anda lakukan pada tabel lainnya.
Tabel AzureActivity mencakup data dari banyak layanan, termasuk Microsoft Azure Sentinel. Untuk memfilter hanya data dari Microsoft Azure Sentinel, mulai kueri Anda dengan kode berikut:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
Misalnya, untuk mengetahui siapa pengguna terakhir yang mengedit aturan analitik tertentu, gunakan kueri berikut (mengganti
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
dengan ID aturan dari aturan yang ingin Anda periksa):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Tambahkan lebih banyak parameter ke kueri Anda untuk menjelajahi tabel AzureActivities lebih lanjut, bergantung pada apa yang perlu Anda laporkan. Bagian berikut ini menyediakan kueri sampel lain untuk digunakan saat mengaudit data tabel AzureActivity.
Untuk informasi selengkapnya, lihat data Microsoft Azure Sentinel yang disertakan dalam log Aktivitas Azure.
Temukan semua tindakan yang diambil oleh pengguna tertentu dalam 24 jam terakhir
Kueri tabel AzureActivity berikut mencantumkan semua tindakan yang diambil oleh pengguna Microsoft Entra tertentu dalam 24 jam terakhir.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Temukan semua operasi penghapusan
Kueri tabel AzureActivity berikut mencantumkan semua operasi penghapusan yang dilakukan di ruang kerja Microsoft Azure Sentinel Anda.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Data Microsoft Azure Sentinel disertakan dalam log Aktivitas Azure
Log audit Microsoft Azure Sentinel disimpan dalam Log Aktivitas Azure, dan menyertakan jenis informasi berikut:
Operasi | Jenis informasi |
---|---|
Created | Aturan pemberitahuan Komentar kasus Komentar insiden Pencarian tersimpan Daftar pengawasan Buku kerja |
Dihapus | Aturan pemberitahuan Bookmark Konektor data Insiden Pencarian tersimpan Pengaturan Laporan inteligensi ancaman Daftar pengawasan Workbook Alur kerja |
Diperbarui | Aturan peringatan Bookmark Kasus Konektor data Insiden Komentar insiden Laporan inteligensi ancaman Workbook Alur kerja |
Anda juga dapat menggunakan log Aktivitas Azure untuk memeriksa otorisasi dan lisensi pengguna.
Misalnya, tabel berikut ini mencantumkan operasi yang dipilih yang ditemukan di log Aktivitas Azure dengan sumber daya tertentu tempat data log ditarik.
Nama operasi | Jenis Sumber Daya |
---|---|
Buat atau perbarui buku kerja | Microsoft.Insights/workbooks |
Hapus buku kerja | Microsoft.Insights/workbooks |
Set alur kerja | Microsoft.Logic/workflows |
Hapus alur kerja | Microsoft.Logic/workflows |
Membuat pencarian tersimpan | Microsoft.OperationalInsights/workspaces/savedSearches |
Hapus pencarian tersimpan | Microsoft.OperationalInsights/workspaces/savedSearches |
Perbarui aturan pemberitahuan | Microsoft.SecurityInsights/alertRules |
Hapus aturan pemberitahuan | Microsoft.SecurityInsights/alertRules |
Perbarui tindakan respons aturan pemberitahuan | Microsoft.SecurityInsights/alertRules/actions |
Hapus tindakan respons aturan pemberitahuan | Microsoft.SecurityInsights/alertRules/actions |
Perbarui marka buku | Microsoft.SecurityInsights/bookmarks |
Hapus marka buku | Microsoft.SecurityInsights/bookmarks |
Perbarui kasus | Microsoft.SecurityInsights/Cases |
Perbarui penyelidikan kasus | Microsoft.SecurityInsights/Cases/investigations |
Buat komentar kasus | Microsoft.SecurityInsights/Cases/comments |
Perbarui konektor data | Microsoft.SecurityInsights/dataConnectors |
Hapus konektor data | Microsoft.SecurityInsights/dataConnectors |
Perbarui pengaturan | Microsoft.SecurityInsights/settings |
Untuk informasi selengkapnya, lihat Skema peristiwa Log Aktivitas Azure.
Mengaudit dengan LAQueryLogs
Tabel LAQueryLogs menyediakan detail tentang kueri log yang dijalankan di Log Analytics. Karena Analitik Log digunakan sebagai penyimpan data Microsoft Azure Sentinel, Anda dapat mengonfigurasi sistem anda untuk mengumpulkan data LAQueryLogs di ruang kerja Microsoft Azure Sentinel Anda.
Data LAQueryLogs mencakup informasi seperti:
- Kapan kueri dijalankan
- Siapa yang menjalankan kueri di Log Analytics
- Alat apa yang digunakan untuk menjalankan kueri di Analitik Log, seperti Microsoft Azure Sentinel
- Teks kueri itu sendiri
- Data performa pada setiap kueri berjalan
Catatan
- Tabel LAQueryLogs hanya mencakup kueri yang telah dijalankan di bilah Log Microsoft Azure Sentinel. Ini tidak termasuk kueri yang dijalankan oleh aturan analitik terjadwal, yang menggunakan Investigation Graph atau di halaman Pemburuan Microsoft Azure Sentinel.
- Mungkin ada penundaan singkat antara waktu kueri dijalankan dan data diisi dalam tabel LAQueryLogs. Sebaiknya tunggu sekitar 5 menit untuk membuat kueri tabel LAQueryLogs untuk data audit.
Untuk membuat kueri tabel LAQueryLogs:
Tabel LAQueryLogs tidak diaktifkan secara default di ruang kerja Log Analytics Anda. Untuk menggunakan data LAQueryLogs saat mengaudit di Microsoft Azure Sentinel, aktifkan terlebih dahulu LAQueryLogs di area pengaturan Diagnostik ruang kerja Analitik Log Anda.
Untuk informasi selengkapnya, lihat Audit kueri di log Azure Monitor.
Kemudian, buat kueri data menggunakan KQL, seperti yang Anda lakukan pada tabel lainnya.
Misalnya, kueri berikut ini memperlihatkan berapa banyak kueri yang dijalankan dalam seminggu terakhir, per hari:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Bagian berikut menunjukkan lebih banyak kueri sampel untuk dijalankan di tabel LAQueryLogs saat mengaudit aktivitas di lingkungan SOC Anda menggunakan Microsoft Azure Sentinel.
Jumlah kueri yang berjalan di mana respons tidak "OK"
Kueri tabel LAQueryLogs berikut ini memperlihatkan jumlah kueri yang dijalankan, di mana apa pun selain respons HTTP 200 OK diterima. Misalnya, nomor ini akan menyertakan kueri yang gagal dijalankan.
LAQueryLogs
| where ResponseCode != 200
| count
Perlihatkan pengguna untuk kueri intensif CPU
Kueri tabel LAQueryLogs berikut ini mencantumkan pengguna yang menjalankan kueri paling intensif CPU, berdasarkan CPU yang digunakan dan durasi waktu kueri.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Perlihatkan pengguna yang menjalankan kueri terbanyak dalam seminggu terakhir
Kueri tabel LAQueryLogs berikut ini mencantumkan pengguna yang menjalankan kueri terbanyak dalam seminggu terakhir.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Mengonfigurasi pemberitahuan untuk aktivitas Microsoft Azure Sentinel
Anda mungkin ingin menggunakan sumber daya audit Microsoft Azure Sentinel untuk membuat peringatan proaktif.
Misalnya, jika Anda memiliki tabel sensitif di ruang kerja Microsoft Azure Sentinel Anda, gunakan kueri berikut untuk memberi tahu Anda setiap kali tabel tersebut diminta:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Pantau Microsoft Azure Sentinel dengan buku kerja, aturan, dan playbook
Gunakan fitur dari Microsoft Azure Sentinel untuk memantau peristiwa dan tindakan yang terjadi di dalam Microsoft Azure Sentinel.
Memantau dengan buku kerja. Buku kerja berikut dibangun untuk memantau aktivitas ruang kerja:
- Audit Ruang Kerja. Mencakup informasi tentang pengguna mana dalam lingkungan yang melakukan tindakan, tindakan apa yang mereka lakukan, dan lebih.
- Efisiensi Analitik. Memberikan wawasan pada aturan analitik mana yang digunakan, taktik MITRE mana yang paling tertutup, dan insiden yang dihasilkan dari aturan.
- Efisiensi Operasi Keamanan. Memberikan metrik pada kinerja tim SOC, insiden dibuka, insiden ditutup, dan lebih. Buku kerja ini dapat digunakan untuk menampilkan kinerja tim dan menyoroti area yang mungkin kekurangan dan memerlukan perhatian.
- Pemantauan kondisi pengumpulan data. Membantu mengawasi penyerapan yang tertuda atau berhenti.
Untuk informasi selengkapnya, lihat Buku kerja Microsoft Azure Sentinel yang umum digunakan.
Perhatikan penundaan penyerapan. Jika Anda memiliki keraguan tentang penundaan penyerapan, tentukan variabel dalam aturan analitik untuk mewakili penundaan.
Misalnya, aturan analitik berikut dapat membantu memastikan agar hasil tidak menyertakan duplikat, dan log tersebut tidak terlewatkan saat menjalankan aturan:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
Untuk informasi selengkapnya, lihat Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel dengan aturan otomatisasi.
Pantau kondisi konektor data menggunakan Solusi Pemberitahuan Push Kondisi Konektor playbook untuk mengawasi penyerapan yang tertunda atau dihentikan, dan kirim pemberitahuan saat konektor berhenti mengumpulkan data atau mesin berhenti melapor.
Langkah berikutnya
Di Microsoft Azure Sentinel, gunakan buku kerja Audit ruang kerja untuk mengaudit aktivitas di lingkungan SOC Anda.
Untuk informasi selengkapnya, lihat Gambarkan dan Pantau data Anda.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk