Condividi tramite


Controllare query e attività di Microsoft Sentinel

Questo articolo descrive come visualizzare i dati di controllo per le query eseguite e le attività eseguite nell'area di lavoro di Microsoft Sentinel, ad esempio per i requisiti di conformità interni ed esterni nell'area di lavoro Operazioni di sicurezza (SOC).

Microsoft Sentinel fornisce l'accesso a:

  • La tabella AzureActivity , che fornisce informazioni dettagliate su tutte le azioni eseguite in Microsoft Sentinel, ad esempio la modifica delle regole di avviso. La tabella AzureActivity non registra dati di query specifici. Per altre informazioni, vedere Controllo con i log attività di Azure.

  • La tabella LAQueryLogs , che fornisce informazioni dettagliate sulle query eseguite in Log Analytics, incluse le query eseguite da Microsoft Sentinel. Per altre informazioni, vedere Controllo con LAQueryLogs.

Suggerimento

Oltre alle query manuali descritte in questo articolo, Microsoft Sentinel fornisce una cartella di lavoro predefinita che consente di controllare le attività nell'ambiente SOC.

Nell'area Cartelle di lavoro di Microsoft Sentinel cercare la cartella di lavoro di controllo dell'area di lavoro.

Controllo con i log attività di Azure

I log di controllo di Microsoft Sentinel vengono mantenuti nei log attività di Azure, in cui la tabella AzureActivity include tutte le azioni eseguite nell'area di lavoro di Microsoft Sentinel.

È possibile usare la tabella AzureActivity quando si controlla l'attività nell'ambiente SOC con Microsoft Sentinel.

Per eseguire una query sulla tabella AzureActivity:

  1. ConnessioneOrigine dati attività di Azure per avviare lo streaming degli eventi di controllo in una nuova tabella nella schermata Log denominata AzureActivity.

  2. Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.

    La tabella AzureActivity include i dati di molti servizi, tra cui Microsoft Sentinel. Per filtrare solo i dati di Microsoft Sentinel, avviare la query con il codice seguente:

     AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
    

    Ad esempio, per scoprire chi è stato l'ultimo utente a modificare una determinata regola di analisi, usare la query seguente (sostituendo xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx con l'ID regola della regola che si vuole controllare):

    AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
    | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    | project Caller , TimeGenerated , Properties
    

Aggiungere altri parametri alla query per esplorare ulteriormente la tabella AzureActivities , a seconda di ciò che è necessario segnalare. Le sezioni seguenti forniscono altre query di esempio da usare per il controllo con i dati della tabella AzureActivity .

Per altre informazioni, vedere Dati di Microsoft Sentinel inclusi nei log attività di Azure.

Trovare tutte le azioni eseguite da un utente specifico nelle ultime 24 ore

Nella query seguente della tabella AzureActivity sono elencate tutte le azioni eseguite da un utente specifico di Microsoft Entra nelle ultime 24 ore.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Trovare tutte le operazioni di eliminazione

Nella query seguente della tabella AzureActivity sono elencate tutte le operazioni di eliminazione eseguite nell'area di lavoro di Microsoft Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

Dati di Microsoft Sentinel inclusi nei log attività di Azure

I log di controllo di Microsoft Sentinel vengono mantenuti nei log attività di Azure e includono i tipi di informazioni seguenti:

Operazione Tipi di informazioni
Data di creazione Regole di avviso
Commenti per maiuscole e minuscole
Commenti sugli eventi imprevisti
Ricerche salvate
Watchlist
Workbooks
Eliminato Regole di avviso
Segnalibri
Connettori dati
Incidenti
Ricerche salvate
Impostazioni
Report di Intelligence sulle minacce
Watchlist
Cartelle
Workflow
Aggiornato Regole di avviso
Segnalibri
Casi
Connettori dati
Incidenti
Commenti sugli eventi imprevisti
Report di Intelligence sulle minacce
Cartelle
Workflow

È anche possibile usare i log attività di Azure per verificare la presenza di autorizzazioni e licenze utente.

Ad esempio, la tabella seguente elenca le operazioni selezionate trovate nei log attività di Azure con la risorsa specifica da cui vengono estratti i dati di log.

Nome operazione Tipo di risorsa
Creare o aggiornare la cartella di lavoro Microsoft.Insights/workbooks
Elimina cartella di lavoro Microsoft.Insights/workbooks
Impostare il flusso di lavoro Microsoft.Logic/workflows
Eliminare il flusso di lavoro Microsoft.Logic/workflows
Creare una ricerca salvata Microsoft.OperationalInsights/workspaces/savedSearches
Eliminare la ricerca salvata Microsoft.OperationalInsights/workspaces/savedSearches
Aggiornare le regole di avviso Microsoft.SecurityInsights/alertRules
Eliminare le regole di avviso Microsoft.SecurityInsights/alertRules
Aggiornare le azioni di risposta alle regole di avviso Microsoft.SecurityInsights/alertRules/actions
Eliminare le azioni di risposta alle regole di avviso Microsoft.SecurityInsights/alertRules/actions
Aggiornare i segnalibri Microsoft.SecurityInsights/bookmarks
Eliminare segnalibri Microsoft.SecurityInsights/bookmarks
Casi di aggiornamento Microsoft.SecurityInsights/Cases
Aggiornare l'analisi dei casi Microsoft.SecurityInsights/Cases/investigations
Creare commenti in caso di maiuscole e minuscole Microsoft.SecurityInsights/Cases/comments
Aggiornare i connettori dati Microsoft.SecurityInsights/data Connessione ors
Eliminare i connettori dati Microsoft.SecurityInsights/data Connessione ors
Aggiorna impostazioni Microsoft.SecurityInsights/settings

Per altre informazioni, vedere Schema di eventi del log attività di Azure.

Controllo con LAQueryLogs

La tabella LAQueryLogs fornisce informazioni dettagliate sulle query di log eseguite in Log Analytics. Poiché Log Analytics viene usato come archivio dati sottostante di Microsoft Sentinel, è possibile configurare il sistema per raccogliere i dati LAQueryLogs nell'area di lavoro di Microsoft Sentinel.

I dati LAQueryLogs includono informazioni come:

  • Quando sono state eseguite query
  • Chi ha eseguito query in Log Analytics
  • Quale strumento è stato usato per eseguire query in Log Analytics, ad esempio Microsoft Sentinel
  • I testi della query stessi
  • Dati sulle prestazioni per ogni esecuzione di query

Nota

  • La tabella LAQueryLogs include solo query eseguite nel pannello Log di Microsoft Sentinel. Non include le query eseguite dalle regole di analisi pianificate, usando Il Grafico di indagine o nella pagina Ricerca di Microsoft Sentinel.
  • Potrebbe verificarsi un breve ritardo tra l'esecuzione di una query e il popolamento dei dati nella tabella LAQueryLogs . È consigliabile attendere circa 5 minuti per eseguire una query sulla tabella LAQueryLogs per i dati di controllo.

Per eseguire una query sulla tabella LAQueryLogs:

  1. La tabella LAQueryLogs non è abilitata per impostazione predefinita nell'area di lavoro Log Analytics. Per usare i dati LAQueryLogs durante il controllo in Microsoft Sentinel, abilitare prima di tutto LAQueryLogs nell'area impostazioni di diagnostica dell'area di lavoro Log Analytics.

    Per altre informazioni, vedere Controllare le query nei log di Monitoraggio di Azure.

  2. Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.

    Ad esempio, la query seguente mostra il numero di query eseguite nell'ultima settimana, su base giornaliera:

    LAQueryLogs
    | where TimeGenerated > ago(7d)
    | summarize events_count=count() by bin(TimeGenerated, 1d)
    

Le sezioni seguenti illustrano altre query di esempio da eseguire nella tabella LAQueryLogs durante il controllo delle attività nell'ambiente SOC usando Microsoft Sentinel.

Numero di query eseguite in cui la risposta non è "OK"

La query di tabella LAQueryLogs seguente mostra il numero di query eseguite, in cui è stata ricevuta una risposta HTTP diversa da 200 OK. Ad esempio, questo numero includerà query che non sono riuscite a essere eseguite.

LAQueryLogs
| where ResponseCode != 200 
| count 

Visualizzare gli utenti per query con utilizzo intensivo della CPU

La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito le query con un utilizzo elevato della CPU, in base all'utilizzo della CPU e alla durata della query.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

Mostrare agli utenti che hanno eseguito la maggior parte delle query nella settimana precedente

Nella query di tabella LAQueryLogs seguente sono elencati gli utenti che hanno eseguito la maggior parte delle query nell'ultima settimana.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Configurazione degli avvisi per le attività di Microsoft Sentinel

È possibile usare le risorse di controllo di Microsoft Sentinel per creare avvisi proattivi.

Ad esempio, se nell'area di lavoro di Microsoft Sentinel sono presenti tabelle sensibili, usare la query seguente per inviare una notifica ogni volta che vengono eseguite query su tali tabelle:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Monitorare Microsoft Sentinel con cartelle di lavoro, regole e playbook

Usare le funzionalità di Microsoft Sentinel per monitorare eventi e azioni che si verificano all'interno di Microsoft Sentinel.

  • Monitorare con cartelle di lavoro. Le cartelle di lavoro seguenti sono state create per monitorare l'attività dell'area di lavoro:

    • Controllo dell'area di lavoro. Include informazioni sugli utenti nell'ambiente che eseguono azioni, sulle azioni eseguite e altro ancora.
    • Efficienza dell'analisi. Fornisce informazioni dettagliate sulle regole analitiche usate, sulle tattiche MITRE più trattate e sugli eventi imprevisti generati dalle regole.
    • Efficienza delle operazioni di sicurezza. Presenta le metriche sulle prestazioni del team SOC, sugli eventi imprevisti aperti, sugli eventi imprevisti chiusi e altro ancora. Questa cartella di lavoro può essere usata per mostrare le prestazioni del team ed evidenziare eventuali aree che potrebbero non avere bisogno di attenzione.
    • Monitoraggio dell'integrità della raccolta dati. Consente di controllare gli inserimenti bloccati o arrestati.

    Per altre informazioni, vedere Cartelle di lavoro di Microsoft Sentinel di uso comune.

  • Controllare il ritardo di inserimento. In caso di dubbi sul ritardo di inserimento, impostare una variabile in una regola di analisi per rappresentare il ritardo.

    Ad esempio, la regola di analisi seguente può contribuire a garantire che i risultati non includano duplicati e che i log non vengano persi durante l'esecuzione delle regole:

    let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
    - Calculating ingestion delay
      CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
    

    Per altre informazioni, vedere Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione.

  • Monitorare l'integrità del connettore dati usando il playbook della soluzione di notifica push dell'integrità Connessione or per controllare se l'inserimento è stato bloccato o arrestato e inviare notifiche quando un connettore ha interrotto la raccolta di dati o computer ha interrotto la segnalazione.

Passaggi successivi

In Microsoft Sentinel usare la cartella di lavoro di controllo dell'area di lavoro per controllare le attività nell'ambiente SOC.

Per altre informazioni, vedere Visualizzare e monitorare i dati.