Microsoft Sentinel-query's en -activiteiten controleren
In dit artikel wordt beschreven hoe u controlegegevens kunt bekijken voor query's die worden uitgevoerd en activiteiten die worden uitgevoerd in uw Microsoft Sentinel-werkruimte, zoals voor interne en externe nalevingsvereisten in uw SOC-werkruimte (Security Operations).
Microsoft Sentinel biedt toegang tot:
De tabel AzureActivity , die details bevat over alle acties die in Microsoft Sentinel worden uitgevoerd, zoals het bewerken van waarschuwingsregels. In de Tabel AzureActivity worden geen specifieke querygegevens vastgelegd. Zie Controle met Azure-activiteitenlogboeken voor meer informatie.
De laQueryLogs-tabel , die details bevat over de query's die worden uitgevoerd in Log Analytics, inclusief query's die worden uitgevoerd vanuit Microsoft Sentinel. Zie Controle met LAQueryLogs voor meer informatie.
Fooi
Naast de handmatige query's die in dit artikel worden beschreven, biedt Microsoft Sentinel een ingebouwde werkmap om u te helpen bij het controleren van de activiteiten in uw SOC-omgeving.
Zoek in het gebied Microsoft Sentinel-werkmappen naar de werkmap Werkruimtecontrole.
Controle met Azure-activiteitenlogboeken
De auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken, waarbij de tabel AzureActivity alle acties bevat die zijn uitgevoerd in uw Microsoft Sentinel-werkruimte.
U kunt de tabel AzureActivity gebruiken bij het controleren van activiteiten in uw SOC-omgeving met Microsoft Sentinel.
Ga als volgende te werk om een query uit te voeren op de AzureActivity-tabel:
Verbinding maken de Azure Activity-gegevensbron om auditgebeurtenissen te streamen naar een nieuwe tabel in het scherm Logboeken met de naam AzureActivity.
Voer vervolgens een query uit op de gegevens met behulp van KQL, net zoals in elke andere tabel.
De tabel AzureActivity bevat gegevens uit veel services, waaronder Microsoft Sentinel. Als u alleen gegevens uit Microsoft Sentinel wilt filteren, start u uw query met de volgende code:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Als u bijvoorbeeld wilt weten wie de laatste gebruiker was om een bepaalde analyseregel te bewerken, gebruikt u de volgende query (vervangen door
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxde regel-id van de regel die u wilt controleren):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Voeg meer parameters toe aan uw query om de tabel AzureActivities verder te verkennen, afhankelijk van wat u moet rapporteren. De volgende secties bevatten andere voorbeeldquery's die moeten worden gebruikt bij het controleren met AzureActivity-tabelgegevens .
Zie Microsoft Sentinel-gegevens die zijn opgenomen in Azure-activiteitenlogboeken voor meer informatie.
Alle acties zoeken die door een specifieke gebruiker in de afgelopen 24 uur zijn uitgevoerd
De volgende AzureActivity-tabelquery bevat alle acties die in de afgelopen 24 uur zijn uitgevoerd door een specifieke Microsoft Entra-gebruiker.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Alle verwijderbewerkingen zoeken
De volgende AzureActivity-tabelquery bevat alle verwijderbewerkingen die zijn uitgevoerd in uw Microsoft Sentinel-werkruimte.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel-gegevens die zijn opgenomen in Azure-activiteitenlogboeken
De auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken en bevatten de volgende typen informatie:
| Operation | Informatietypen |
|---|---|
| Gemaakt | Waarschuwingsregels Caseopmerkingen Opmerkingen bij incidenten Opgeslagen zoekacties Volglijsten Werkmappen |
| Verwijderd | Waarschuwingsregels Bladwijzers Gegevensconnectors Incidenten Opgeslagen zoekopdrachten Instellingen Bedreigingsinformatierapporten Volglijsten Werkmappen Workflow |
| Bijgewerkt | Waarschuwingsregels Bladwijzers Gevallen Gegevensconnectors Incidenten Opmerkingen bij incidenten Bedreigingsinformatierapporten Werkmappen Workflow |
U kunt ook de Azure-activiteitenlogboeken gebruiken om te controleren op gebruikersautorisaties en licenties.
De volgende tabel bevat bijvoorbeeld geselecteerde bewerkingen in Azure-activiteitenlogboeken met de specifieke resource waaruit de logboekgegevens worden opgehaald.
| Bewerkingsnaam | Resourcetype |
|---|---|
| Werkmap maken of bijwerken | Microsoft.Insights/werkmappen |
| Werkmap verwijderen | Microsoft.Insights/werkmappen |
| Werkstroom instellen | Microsoft.Logic/workflows |
| Werkstroom verwijderen | Microsoft.Logic/workflows |
| Opgeslagen zoekopdracht maken | Microsoft.OperationalInsights/workspaces/savedSearches |
| Opgeslagen zoekopdracht verwijderen | Microsoft.OperationalInsights/workspaces/savedSearches |
| Waarschuwingsregels bijwerken | Microsoft.SecurityInsights/alertRules |
| Waarschuwingsregels verwijderen | Microsoft.SecurityInsights/alertRules |
| Reactieacties voor waarschuwingsregels bijwerken | Microsoft.SecurityInsights/alertRules/actions |
| Reactieacties voor waarschuwingsregels verwijderen | Microsoft.SecurityInsights/alertRules/actions |
| Bladwijzers bijwerken | Microsoft.SecurityInsights/bladwijzers |
| Bladwijzers verwijderen | Microsoft.SecurityInsights/bladwijzers |
| Cases bijwerken | Microsoft.SecurityInsights/Cases |
| Aanvraagonderzoek bijwerken | Microsoft.SecurityInsights/Cases/investigations |
| Caseopmerkingen maken | Microsoft.SecurityInsights/Cases/comments |
| Gegevensconnectors bijwerken | Microsoft.SecurityInsights/data Verbinding maken ors |
| Gegevensconnectors verwijderen | Microsoft.SecurityInsights/data Verbinding maken ors |
| Instellingen bijwerken | Microsoft.SecurityInsights/settings |
Zie het gebeurtenisschema van het Azure-activiteitenlogboek voor meer informatie.
Controle met LAQueryLogs
De tabel LAQueryLogs bevat details over logboekquery's die worden uitgevoerd in Log Analytics. Omdat Log Analytics wordt gebruikt als het onderliggende gegevensarchief van Microsoft Sentinel, kunt u uw systeem configureren voor het verzamelen van LAQueryLogs-gegevens in uw Microsoft Sentinel-werkruimte.
LAQueryLogs-gegevens bevatten informatie zoals:
- Wanneer query's werden uitgevoerd
- Wie uitgevoerde query's in Log Analytics
- Welk hulpprogramma is gebruikt om query's uit te voeren in Log Analytics, zoals Microsoft Sentinel
- De queryteksten zelf
- Prestatiegegevens voor elke queryuitvoering
Notitie
- De tabel LAQueryLogs bevat alleen query's die zijn uitgevoerd op de blade Logboeken van Microsoft Sentinel. Het omvat niet de query's die worden uitgevoerd op basis van geplande analyseregels, met behulp van de Onderzoeksgrafiek of op de pagina Opsporing van Microsoft Sentinel.
- Er kan een korte vertraging optreden tussen het moment dat een query wordt uitgevoerd en de gegevens worden ingevuld in de tabel LAQueryLogs . We raden u aan ongeveer 5 minuten te wachten om een query uit te voeren op de LAQueryLogs-tabel voor controlegegevens.
Ga als volgende te werk om een query uit te voeren op de laQueryLogs-tabel:
De LAQueryLogs-tabel is niet standaard ingeschakeld in uw Log Analytics-werkruimte. Als u LAQueryLogs-gegevens wilt gebruiken bij het controleren in Microsoft Sentinel, moet u eerst de LAQueryLogs inschakelen in het gebied diagnostische instellingen van uw Log Analytics-werkruimte.
Zie Auditquery's in Azure Monitor-logboeken voor meer informatie.
Voer vervolgens een query uit op de gegevens met behulp van KQL, net zoals in elke andere tabel.
In de volgende query ziet u bijvoorbeeld hoeveel query's in de afgelopen week zijn uitgevoerd, op basis van een dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
In de volgende secties ziet u meer voorbeeldquery's die moeten worden uitgevoerd in de laQueryLogs-tabel bij het controleren van activiteiten in uw SOC-omgeving met behulp van Microsoft Sentinel.
Het aantal query's dat wordt uitgevoerd waarbij het antwoord niet 'OK' was
In de volgende LAQueryLogs-tabelquery ziet u het aantal uitgevoerde query's, waarbij iets anders dan een HTTP-antwoord van 200 OK is ontvangen. Dit nummer bevat bijvoorbeeld query's die niet konden worden uitgevoerd.
LAQueryLogs
| where ResponseCode != 200
| count
Gebruikers weergeven voor CPU-intensieve query's
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meest CPU-intensieve query's hebben uitgevoerd, op basis van de gebruikte CPU en de duur van de querytijd.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Gebruikers weergeven die de meeste query's in de afgelopen week hebben uitgevoerd
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meeste query's in de afgelopen week hebben uitgevoerd.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Waarschuwingen configureren voor Microsoft Sentinel-activiteiten
U kunt microsoft Sentinel-controleresources gebruiken om proactieve waarschuwingen te maken.
Als u bijvoorbeeld gevoelige tabellen in uw Microsoft Sentinel-werkruimte hebt, gebruikt u de volgende query om u elke keer dat deze tabellen worden opgevraagd op de hoogte te stellen:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Microsoft Sentinel bewaken met werkmappen, regels en playbooks
Gebruik de eigen functies van Microsoft Sentinel om gebeurtenissen en acties in Microsoft Sentinel te bewaken.
Bewaken met werkmappen. De volgende werkmappen zijn gebouwd om de activiteit van de werkruimte te bewaken:
- Werkruimtecontrole. Bevat informatie over welke gebruikers in de omgeving acties uitvoeren, welke acties ze hebben uitgevoerd en meer.
- Efficiƫntie van analyse. Biedt inzicht in welke analyseregels worden gebruikt, welke MITRE-tactieken het meest worden behandeld en incidenten die worden gegenereerd op basis van de regels.
- Efficiƫntie van beveiligingsbewerkingen. Presenteert metrische gegevens over soc-teamprestaties, geopende incidenten, gesloten incidenten en meer. Deze werkmap kan worden gebruikt om de prestaties van het team weer te geven en gebieden te markeren die mogelijk geen aandacht vereisen.
- Statuscontrole van gegevensverzameling. Helpt bij het controleren op vastgelopen of gestopte opname.
Zie Veelgebruikte Microsoft Sentinel-werkmappen voor meer informatie.
Let op opnamevertraging. Als u zich zorgen maakt over opnamevertraging, stelt u een variabele in een analyseregel in om de vertraging weer te geven.
De volgende analyseregel kan bijvoorbeeld helpen ervoor te zorgen dat de resultaten geen duplicaten bevatten en dat logboeken niet worden gemist bij het uitvoeren van de regels:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductZie De verwerking van incidenten automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie.
Bewaak de status van de gegevensconnector met behulp van het playbook Verbinding maken or Health Push Notification Solution om te kijken naar vastgelopen of gestopte opname, en verzend meldingen wanneer een connector het verzamelen van gegevens of computers heeft gestopt.
Volgende stappen
Gebruik in Microsoft Sentinel de werkmap Werkruimtecontrole om de activiteiten in uw SOC-omgeving te controleren.
Zie Uw gegevens visualiseren en bewaken voor meer informatie.