Controllare query e attività di Microsoft Sentinel
Questo articolo descrive come visualizzare i dati di controllo per le query eseguite e le attività eseguite nell'area di lavoro di Microsoft Sentinel, ad esempio per i requisiti di conformità interni ed esterni nell'area di lavoro Operazioni di sicurezza (SOC).
Microsoft Sentinel fornisce l'accesso a:
La tabella AzureActivity , che fornisce informazioni dettagliate su tutte le azioni eseguite in Microsoft Sentinel, ad esempio la modifica delle regole di avviso. La tabella AzureActivity non registra dati di query specifici. Per altre informazioni, vedere Controllo con i log attività di Azure.
La tabella LAQueryLogs , che fornisce informazioni dettagliate sulle query eseguite in Log Analytics, incluse le query eseguite da Microsoft Sentinel. Per altre informazioni, vedere Controllo con LAQueryLogs.
Suggerimento
Oltre alle query manuali descritte in questo articolo, Microsoft Sentinel fornisce una cartella di lavoro predefinita che consente di controllare le attività nell'ambiente SOC.
Nell'area Cartelle di lavoro di Microsoft Sentinel cercare la cartella di lavoro di controllo dell'area di lavoro.
Controllo con i log attività di Azure
I log di controllo di Microsoft Sentinel vengono mantenuti nei log attività di Azure, in cui la tabella AzureActivity include tutte le azioni eseguite nell'area di lavoro di Microsoft Sentinel.
È possibile usare la tabella AzureActivity quando si controlla l'attività nell'ambiente SOC con Microsoft Sentinel.
Per eseguire una query sulla tabella AzureActivity:
ConnessioneOrigine dati attività di Azure per avviare lo streaming degli eventi di controllo in una nuova tabella nella schermata Log denominata AzureActivity.
Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.
La tabella AzureActivity include i dati di molti servizi, tra cui Microsoft Sentinel. Per filtrare solo i dati di Microsoft Sentinel, avviare la query con il codice seguente:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Ad esempio, per scoprire chi è stato l'ultimo utente a modificare una determinata regola di analisi, usare la query seguente (sostituendo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxcon l'ID regola della regola che si vuole controllare):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Aggiungere altri parametri alla query per esplorare ulteriormente la tabella AzureActivities , a seconda di ciò che è necessario segnalare. Le sezioni seguenti forniscono altre query di esempio da usare per il controllo con i dati della tabella AzureActivity .
Per altre informazioni, vedere Dati di Microsoft Sentinel inclusi nei log attività di Azure.
Trovare tutte le azioni eseguite da un utente specifico nelle ultime 24 ore
Nella query seguente della tabella AzureActivity sono elencate tutte le azioni eseguite da un utente specifico di Microsoft Entra nelle ultime 24 ore.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Trovare tutte le operazioni di eliminazione
Nella query seguente della tabella AzureActivity sono elencate tutte le operazioni di eliminazione eseguite nell'area di lavoro di Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dati di Microsoft Sentinel inclusi nei log attività di Azure
I log di controllo di Microsoft Sentinel vengono mantenuti nei log attività di Azure e includono i tipi di informazioni seguenti:
| Operazione | Tipi di informazioni |
|---|---|
| Data di creazione | Regole di avviso Commenti per maiuscole e minuscole Commenti sugli eventi imprevisti Ricerche salvate Watchlist Workbooks |
| Eliminato | Regole di avviso Segnalibri Connettori dati Incidenti Ricerche salvate Impostazioni Report di Intelligence sulle minacce Watchlist Cartelle Workflow |
| Aggiornato | Regole di avviso Segnalibri Casi Connettori dati Incidenti Commenti sugli eventi imprevisti Report di Intelligence sulle minacce Cartelle Workflow |
È anche possibile usare i log attività di Azure per verificare la presenza di autorizzazioni e licenze utente.
Ad esempio, la tabella seguente elenca le operazioni selezionate trovate nei log attività di Azure con la risorsa specifica da cui vengono estratti i dati di log.
| Nome operazione | Tipo di risorsa |
|---|---|
| Creare o aggiornare la cartella di lavoro | Microsoft.Insights/workbooks |
| Elimina cartella di lavoro | Microsoft.Insights/workbooks |
| Impostare il flusso di lavoro | Microsoft.Logic/workflows |
| Eliminare il flusso di lavoro | Microsoft.Logic/workflows |
| Creare una ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
| Eliminare la ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aggiornare le regole di avviso | Microsoft.SecurityInsights/alertRules |
| Eliminare le regole di avviso | Microsoft.SecurityInsights/alertRules |
| Aggiornare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
| Eliminare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
| Aggiornare i segnalibri | Microsoft.SecurityInsights/bookmarks |
| Eliminare segnalibri | Microsoft.SecurityInsights/bookmarks |
| Casi di aggiornamento | Microsoft.SecurityInsights/Cases |
| Aggiornare l'analisi dei casi | Microsoft.SecurityInsights/Cases/investigations |
| Creare commenti in caso di maiuscole e minuscole | Microsoft.SecurityInsights/Cases/comments |
| Aggiornare i connettori dati | Microsoft.SecurityInsights/data Connessione ors |
| Eliminare i connettori dati | Microsoft.SecurityInsights/data Connessione ors |
| Aggiorna impostazioni | Microsoft.SecurityInsights/settings |
Per altre informazioni, vedere Schema di eventi del log attività di Azure.
Controllo con LAQueryLogs
La tabella LAQueryLogs fornisce informazioni dettagliate sulle query di log eseguite in Log Analytics. Poiché Log Analytics viene usato come archivio dati sottostante di Microsoft Sentinel, è possibile configurare il sistema per raccogliere i dati LAQueryLogs nell'area di lavoro di Microsoft Sentinel.
I dati LAQueryLogs includono informazioni come:
- Quando sono state eseguite query
- Chi ha eseguito query in Log Analytics
- Quale strumento è stato usato per eseguire query in Log Analytics, ad esempio Microsoft Sentinel
- I testi della query stessi
- Dati sulle prestazioni per ogni esecuzione di query
Nota
- La tabella LAQueryLogs include solo query eseguite nel pannello Log di Microsoft Sentinel. Non include le query eseguite dalle regole di analisi pianificate, usando Il Grafico di indagine o nella pagina Ricerca di Microsoft Sentinel.
- Potrebbe verificarsi un breve ritardo tra l'esecuzione di una query e il popolamento dei dati nella tabella LAQueryLogs . È consigliabile attendere circa 5 minuti per eseguire una query sulla tabella LAQueryLogs per i dati di controllo.
Per eseguire una query sulla tabella LAQueryLogs:
La tabella LAQueryLogs non è abilitata per impostazione predefinita nell'area di lavoro Log Analytics. Per usare i dati LAQueryLogs durante il controllo in Microsoft Sentinel, abilitare prima di tutto LAQueryLogs nell'area impostazioni di diagnostica dell'area di lavoro Log Analytics.
Per altre informazioni, vedere Controllare le query nei log di Monitoraggio di Azure.
Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.
Ad esempio, la query seguente mostra il numero di query eseguite nell'ultima settimana, su base giornaliera:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Le sezioni seguenti illustrano altre query di esempio da eseguire nella tabella LAQueryLogs durante il controllo delle attività nell'ambiente SOC usando Microsoft Sentinel.
Numero di query eseguite in cui la risposta non è "OK"
La query di tabella LAQueryLogs seguente mostra il numero di query eseguite, in cui è stata ricevuta una risposta HTTP diversa da 200 OK. Ad esempio, questo numero includerà query che non sono riuscite a essere eseguite.
LAQueryLogs
| where ResponseCode != 200
| count
Visualizzare gli utenti per query con utilizzo intensivo della CPU
La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito le query con un utilizzo elevato della CPU, in base all'utilizzo della CPU e alla durata della query.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Mostrare agli utenti che hanno eseguito la maggior parte delle query nella settimana precedente
Nella query di tabella LAQueryLogs seguente sono elencati gli utenti che hanno eseguito la maggior parte delle query nell'ultima settimana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurazione degli avvisi per le attività di Microsoft Sentinel
È possibile usare le risorse di controllo di Microsoft Sentinel per creare avvisi proattivi.
Ad esempio, se nell'area di lavoro di Microsoft Sentinel sono presenti tabelle sensibili, usare la query seguente per inviare una notifica ogni volta che vengono eseguite query su tali tabelle:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorare Microsoft Sentinel con cartelle di lavoro, regole e playbook
Usare le funzionalità di Microsoft Sentinel per monitorare eventi e azioni che si verificano all'interno di Microsoft Sentinel.
Monitorare con cartelle di lavoro. Le cartelle di lavoro seguenti sono state create per monitorare l'attività dell'area di lavoro:
- Controllo dell'area di lavoro. Include informazioni sugli utenti nell'ambiente che eseguono azioni, sulle azioni eseguite e altro ancora.
- Efficienza dell'analisi. Fornisce informazioni dettagliate sulle regole analitiche usate, sulle tattiche MITRE più trattate e sugli eventi imprevisti generati dalle regole.
- Efficienza delle operazioni di sicurezza. Presenta le metriche sulle prestazioni del team SOC, sugli eventi imprevisti aperti, sugli eventi imprevisti chiusi e altro ancora. Questa cartella di lavoro può essere usata per mostrare le prestazioni del team ed evidenziare eventuali aree che potrebbero non avere bisogno di attenzione.
- Monitoraggio dell'integrità della raccolta dati. Consente di controllare gli inserimenti bloccati o arrestati.
Per altre informazioni, vedere Cartelle di lavoro di Microsoft Sentinel di uso comune.
Controllare il ritardo di inserimento. In caso di dubbi sul ritardo di inserimento, impostare una variabile in una regola di analisi per rappresentare il ritardo.
Ad esempio, la regola di analisi seguente può contribuire a garantire che i risultati non includano duplicati e che i log non vengano persi durante l'esecuzione delle regole:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPer altre informazioni, vedere Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione.
Monitorare l'integrità del connettore dati usando il playbook della soluzione di notifica push dell'integrità Connessione or per controllare se l'inserimento è stato bloccato o arrestato e inviare notifiche quando un connettore ha interrotto la raccolta di dati o computer ha interrotto la segnalazione.
Passaggi successivi
In Microsoft Sentinel usare la cartella di lavoro di controllo dell'area di lavoro per controllare le attività nell'ambiente SOC.
Per altre informazioni, vedere Visualizzare e monitorare i dati.