Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób wyświetlania danych inspekcji dla uruchamianych zapytań i działań wykonywanych w obszarze roboczym Microsoft Sentinel, takich jak wewnętrzne i zewnętrzne wymagania dotyczące zgodności w obszarze roboczym operacji zabezpieczeń (SOC).
Microsoft Sentinel zapewnia dostęp do:
Tabela AzureActivity zawierająca szczegółowe informacje o wszystkich akcjach wykonywanych w Microsoft Sentinel, takich jak edytowanie reguł alertów. Tabela AzureActivity nie rejestruje konkretnych danych zapytań. Aby uzyskać więcej informacji, zobacz Auditing with Azure Activity logs (Inspekcja przy użyciu dzienników aktywności Azure).
Tabela LAQueryLogs, która zawiera szczegółowe informacje o zapytaniach uruchamianych w usłudze Log Analytics, w tym zapytaniach uruchamianych z Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Auditing with LAQueryLogs (Inspekcja za pomocą dzienników LAQueryLogs).
Porada
Oprócz zapytań ręcznych opisanych w tym artykule zalecamy użycie wbudowanego skoroszytu inspekcji obszaru roboczego , który ułatwia inspekcję działań w środowisku SOC. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w Microsoft Sentinel.
Wymagania wstępne
Przed pomyślnym uruchomieniem przykładowych zapytań w tym artykule musisz mieć odpowiednie dane w obszarze roboczym Microsoft Sentinel, aby wykonywać zapytania dotyczące Microsoft Sentinel i uzyskiwać do nich dostęp.
Aby uzyskać więcej informacji, zobacz Konfigurowanie zawartości Microsoft Sentinel oraz ról i uprawnień w Microsoft Sentinel.
Inspekcja za pomocą dzienników aktywności Azure
dzienniki inspekcji Microsoft Sentinel są przechowywane w dziennikach aktywności Azure, gdzie tabela AzureActivity zawiera wszystkie akcje wykonywane w obszarze roboczym Microsoft Sentinel.
Użyj tabeli AzureActivity podczas inspekcji działania w środowisku SOC z Microsoft Sentinel.
Aby wykonać zapytanie dotyczące tabeli AzureActivity:
Zainstaluj rozwiązanie Azure Activity dla rozwiązania Sentinel i połącz łącznik danych Azure Activity, aby rozpocząć przesyłanie strumieniowe zdarzeń inspekcji w nowej tabeli o nazwie
AzureActivity.Wykonaj zapytanie dotyczące danych przy użyciu język zapytań Kusto (KQL), tak jak w przypadku każdej innej tabeli:
- W Azure Portal wykonaj zapytanie w tej tabeli na stronie Dzienniki.
- W portalu usługi Defender wykonaj zapytanie w tej tabeli na stronie Wyszukiwanie & odpowiedzi >dotyczącej> zaawansowanego wyszukiwania zagrożeń.
Tabela AzureActivity zawiera dane z wielu usług, w tym Microsoft Sentinel. Aby filtrować tylko dane z Microsoft Sentinel, uruchom zapytanie przy użyciu następującego kodu:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Aby na przykład dowiedzieć się, kto był ostatnim użytkownikiem, który edytował określoną regułę analizy, użyj następującego zapytania (zastępując
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxgo identyfikatorem reguły, którą chcesz sprawdzić):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Dodaj więcej parametrów do zapytania, aby eksplorować tabelę AzureActivities w zależności od tego, co należy zgłosić. Poniższe sekcje zawierają inne przykładowe zapytania do użycia podczas inspekcji z danymi tabeli AzureActivity .
Aby uzyskać więcej informacji, zobacz Microsoft Sentinel danych zawartych w dziennikach aktywności Azure.
Znajdowanie wszystkich akcji wykonanych przez określonego użytkownika w ciągu ostatnich 24 godzin
Poniższe zapytanie tabeli AzureActivity zawiera listę wszystkich akcji wykonanych przez określonego użytkownika Microsoft Entra w ciągu ostatnich 24 godzin.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Znajdź wszystkie operacje usuwania
Poniższe zapytanie tabeli AzureActivity zawiera listę wszystkich operacji usuwania wykonywanych w Microsoft Sentinel obszarze roboczym.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel danych zawartych w dziennikach aktywności Azure
dzienniki inspekcji Microsoft Sentinel są przechowywane w dziennikach aktywności Azure i zawierają następujące typy informacji:
| Operacja | Typy informacji |
|---|---|
| Utwórz | Reguły alertów Komentarze do sprawy Komentarze dotyczące incydentów Zapisane wyszukiwania Listy obserwowanych Skoroszytów |
| Deleted | Reguły alertów Zakładki Łączniki danych Zdarzenia Zapisane wyszukiwania Ustawienia Raporty analizy zagrożeń Listy obserwowanych Skoroszytów Przepływu pracy |
| Zaktualizowano | Reguły alertów Zakładki Przypadkach Łączniki danych Zdarzenia Komentarze dotyczące incydentów Raporty analizy zagrożeń Skoroszytów Przepływu pracy |
Możesz również użyć dzienników aktywności Azure, aby sprawdzić autoryzacje i licencje użytkowników. Na przykład w poniższej tabeli wymieniono wybrane operacje znalezione w Azure Dzienniki aktywności z określonym zasobem, z których są pobierane dane dziennika.
| Nazwa operacji | Typ zasobu |
|---|---|
| Tworzenie lub aktualizowanie skoroszytu | Microsoft.Insights/workbooks |
| Usuwanie skoroszytu | Microsoft.Insights/workbooks |
| Ustawianie przepływu pracy | Microsoft.Logic/workflows |
| Usuwanie przepływu pracy | Microsoft.Logic/workflows |
| Tworzenie zapisanego wyszukiwania | Microsoft.OperationalInsights/workspaces/savedSearches |
| Usuń zapisane wyszukiwanie | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aktualizowanie reguł alertów | Microsoft.SecurityInsights/alertRules |
| Usuwanie reguł alertów | Microsoft.SecurityInsights/alertRules |
| Aktualizowanie akcji odpowiedzi reguły alertu | Microsoft.SecurityInsights/alertRules/actions |
| Usuwanie akcji odpowiedzi reguły alertu | Microsoft.SecurityInsights/alertRules/actions |
| Aktualizowanie zakładek | Microsoft.SecurityInsights/zakładki |
| Usuwanie zakładek | Microsoft.SecurityInsights/zakładki |
| Przypadki aktualizacji | Microsoft.SecurityInsights/Cases |
| Badanie przypadku aktualizacji | Microsoft.SecurityInsights/Cases/investigations |
| Tworzenie komentarzy do sprawy | Microsoft.SecurityInsights/Cases/comments |
| Aktualizowanie łączników danych | Microsoft.SecurityInsights/dataConnectors |
| Usuwanie łączników danych | Microsoft.SecurityInsights/dataConnectors |
| Aktualizowanie ustawień | Microsoft.SecurityInsights/settings |
Aby uzyskać więcej informacji, zobacz schemat zdarzeń dziennika aktywności Azure.
Inspekcja za pomocą dzienników LAQueryLogs
Tabela LAQueryLogs zawiera szczegółowe informacje o zapytaniach dzienników uruchamianych w usłudze Log Analytics. Ponieważ usługa Log Analytics jest używana jako podstawowy magazyn danych Microsoft Sentinel, można skonfigurować system do zbierania danych LAQueryLogs w obszarze roboczym Microsoft Sentinel.
Dane LAQueryLogs zawierają informacje, takie jak:
- Kiedy zapytania były uruchamiane
- Kto prowadził zapytania w usłudze Log Analytics
- Jakiego narzędzia użyto do uruchamiania zapytań w usłudze Log Analytics, takich jak Microsoft Sentinel
- Same teksty zapytań
- Dane dotyczące wydajności każdego uruchomienia zapytania
Uwaga
Tabela LAQueryLogs zawiera tylko zapytania, które zostały uruchomione w bloku Dzienniki Microsoft Sentinel. Nie obejmuje ona zapytań uruchamianych przez reguły zaplanowanej analizy, przy użyciu wykresu badania, strony wyszukiwania Microsoft Sentinel wyszukiwania zagrożeń ani na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Defender.
Może wystąpić krótkie opóźnienie między uruchomieniem zapytania a wypełnieniem danych w tabeli LAQueryLogs . Zalecamy odczekanie około 5 minut na wykonanie zapytania w tabeli LAQueryLogs na dane inspekcji .
Aby wykonać zapytanie dotyczące tabeli LAQueryLogs:
Tabela LAQueryLogs nie jest domyślnie włączona w obszarze roboczym usługi Log Analytics. Aby używać danych LAQueryLogs podczas inspekcji w Microsoft Sentinel, najpierw włącz dzienniki LAQueryLogs w obszarze ustawień diagnostycznych obszaru roboczego usługi Log Analytics.
Aby uzyskać więcej informacji, zobacz Audit queries in Azure Monitor logs (Inspekcja zapytań w dziennikach Azure Monitor).
Następnie wykonaj zapytanie dotyczące danych przy użyciu języka KQL, tak jak w przypadku każdej innej tabeli.
Na przykład następujące zapytanie pokazuje, ile zapytań zostało uruchomionych w ostatnim tygodniu, na podstawie dnia:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
W poniższych sekcjach przedstawiono więcej przykładowych zapytań do uruchomienia w tabeli LAQueryLogs podczas inspekcji działań w środowisku SOC przy użyciu Microsoft Sentinel.
Liczba uruchomionych zapytań, w których odpowiedź nie była "OK"
Poniższe zapytanie tabeli LAQueryLogs pokazuje liczbę uruchomionych zapytań, w których odebrano coś innego niż odpowiedź HTTP 200 OK . Na przykład ta liczba obejmuje zapytania, których nie można uruchomić.
LAQueryLogs
| where ResponseCode != 200
| count
Pokazywanie użytkowników zapytań intensywnie korzystających z procesora CPU
Poniższe zapytanie tabeli LAQueryLogs zawiera listę użytkowników, którzy uruchamiali zapytania intensywnie korzystające z procesora CPU na podstawie użycia procesora CPU i długości czasu zapytania.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Pokaż użytkowników, którzy uruchomili najwięcej zapytań w ciągu ostatniego tygodnia
Poniższe zapytanie tabeli LAQueryLogs zawiera listę użytkowników, którzy uruchomili najwięcej zapytań w ostatnim tygodniu.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurowanie alertów dla działań Microsoft Sentinel
Do tworzenia proaktywnych alertów można użyć zasobów inspekcji Microsoft Sentinel.
Jeśli na przykład w obszarze roboczym Microsoft Sentinel znajdują się poufne tabele, użyj następującego zapytania, aby powiadomić Cię za każdym razem, gdy są wykonywane zapytania dotyczące tych tabel:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorowanie Microsoft Sentinel przy użyciu skoroszytów, reguł i podręczników
Użyj własnych funkcji Microsoft Sentinel, aby monitorować zdarzenia i akcje występujące w Microsoft Sentinel.
Monitorowanie za pomocą skoroszytów. Kilka wbudowanych skoroszytów Microsoft Sentinel może pomóc w monitorowaniu aktywności obszaru roboczego, w tym informacji o użytkownikach pracujących w obszarze roboczym, używanych regułach analizy, najczęściej omawianych taktykach MITRE, zatrzymanych lub zatrzymanych pozyskiwaniach oraz wydajności zespołu SOC.
Aby uzyskać więcej informacji, zobacz Visualize and monitor your data by using workbooks in Microsoft Sentinel and Commonly used Microsoft Sentinel workbooks (Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w Microsoft Sentinel i często używanych skoroszytów Microsoft Sentinel)
Uważaj na opóźnienie pozyskiwania. Jeśli masz obawy dotyczące opóźnienia pozyskiwania, ustaw zmienną w regule analizy , aby reprezentować opóźnienie.
Na przykład następująca reguła analizy może pomóc w zapewnieniu, że wyniki nie zawierają duplikatów i że dzienniki nie zostaną pominięte podczas uruchamiania reguł:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductAby uzyskać więcej informacji, zobacz Automatyzowanie obsługi zdarzeń w Microsoft Sentinel z regułami automatyzacji.
Monitoruj kondycję łącznika danych przy użyciu podręcznika rozwiązania connector Health Push Notification Solution , aby obserwować wstrzymane lub zatrzymane pozyskiwanie, i wysyłać powiadomienia, gdy łącznik przestał zbierać dane lub maszyny przestały raportować.
Więcej informacji na temat następujących elementów użytych w powyższych przykładach można znaleźć w dokumentacji usługi Kusto:
- let , instrukcja
- operator where
- operator projektu
- operator count
- operator sortowania
- operator rozszerzenia
- operator sprzężenia
- operator sumowania
- ago() , funkcja
- funkcja ingestion_time()
- count() , funkcja agregacji
- funkcja agregacji arg_max()
Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).
Inne zasoby:
Następny krok
W Microsoft Sentinel użyj skoroszytu inspekcji obszaru roboczego do inspekcji działań w środowisku SOC. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych.