Inspekcja zapytań i działań usługi Microsoft Sentinel
W tym artykule opisano sposób wyświetlania danych inspekcji dla przebiegów zapytań i działań wykonywanych w obszarze roboczym usługi Microsoft Sentinel, takich jak wymagania dotyczące zgodności wewnętrznej i zewnętrznej w obszarze roboczym Operacje zabezpieczeń (SOC).
Usługa Microsoft Sentinel zapewnia dostęp do:
Tabela AzureActivity zawierająca szczegółowe informacje o wszystkich akcjach wykonywanych w usłudze Microsoft Sentinel, takich jak edytowanie reguł alertów. Tabela AzureActivity nie rejestruje określonych danych zapytań. Aby uzyskać więcej informacji, zobacz Inspekcja za pomocą dzienników aktywności platformy Azure.
Tabela LAQueryLogs, która zawiera szczegółowe informacje na temat zapytań uruchamianych w usłudze Log Analytics, w tym zapytań uruchamianych z usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Auditing with LAQueryLogs (Inspekcja za pomocą biblioteki LAQueryLogs).
Napiwek
Oprócz ręcznych zapytań opisanych w tym artykule usługa Microsoft Sentinel udostępnia wbudowany skoroszyt ułatwiając inspekcję działań w środowisku SOC.
W obszarze Skoroszyty usługi Microsoft Sentinel wyszukaj skoroszyt inspekcji obszaru roboczego.
Inspekcja przy użyciu dzienników aktywności platformy Azure
Dzienniki inspekcji usługi Microsoft Sentinel są przechowywane w dziennikach aktywności platformy Azure, gdzie tabela AzureActivity zawiera wszystkie akcje wykonywane w obszarze roboczym usługi Microsoft Sentinel.
Tabelę AzureActivity można użyć podczas inspekcji działań w środowisku SOC za pomocą usługi Microsoft Sentinel.
Aby wysłać zapytanie do tabeli AzureActivity:
PołączenieŹródło danych aktywności platformy Azure w celu rozpoczęcia przesyłania strumieniowego zdarzeń inspekcji do nowej tabeli na ekranie Dzienniki o nazwie AzureActivity.
Następnie wykonaj zapytanie dotyczące danych przy użyciu języka KQL, tak jak w przypadku każdej innej tabeli.
Tabela AzureActivity zawiera dane z wielu usług, w tym Microsoft Sentinel. Aby filtrować tylko dane z usługi Microsoft Sentinel, uruchom zapytanie przy użyciu następującego kodu:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Aby na przykład dowiedzieć się, kto był ostatnim użytkownikiem do edytowania określonej reguły analizy, użyj następującego zapytania (zastępując
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxelement identyfikatorem reguły reguły, którą chcesz sprawdzić):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Dodaj więcej parametrów do zapytania, aby dokładniej zapoznać się z tabelą AzureActivities , w zależności od tego, co należy zgłosić. W poniższych sekcjach przedstawiono inne przykładowe zapytania do użycia podczas inspekcji z danymi tabeli AzureActivity .
Aby uzyskać więcej informacji, zobacz Dane usługi Microsoft Sentinel zawarte w dziennikach aktywności platformy Azure.
Znajdź wszystkie akcje podjęte przez określonego użytkownika w ciągu ostatnich 24 godzin
Poniższe zapytanie tabeli AzureActivity zawiera listę wszystkich akcji podjętych przez określonego użytkownika microsoft Entra w ciągu ostatnich 24 godzin.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Znajdowanie wszystkich operacji usuwania
Poniższe zapytanie tabeli AzureActivity zawiera listę wszystkich operacji usuwania wykonywanych w obszarze roboczym usługi Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dane usługi Microsoft Sentinel zawarte w dziennikach aktywności platformy Azure
Dzienniki inspekcji usługi Microsoft Sentinel są przechowywane w dziennikach aktywności platformy Azure i zawierają następujące typy informacji:
| Operacja | Typy informacji |
|---|---|
| Tworzone | Reguły alertów Komentarze do sprawy Komentarze dotyczące zdarzeń Zapisane wyszukiwania Listy do obejrzenia Skoroszyty |
| Usunięto | Reguły alertów Zakładki Łączniki danych Incydentów Zapisane wyszukiwania Ustawienia Raporty analizy zagrożeń Listy do obejrzenia Skoroszytów Workflow |
| Zaktualizowana | Zasady alertów Zakładki Przypadkach Łączniki danych Incydentów Komentarze dotyczące zdarzeń Raporty analizy zagrożeń Skoroszytów Workflow |
Możesz również użyć dzienników aktywności platformy Azure, aby sprawdzić autoryzacje i licencje użytkowników.
Na przykład poniższa tabela zawiera listę wybranych operacji znalezionych w dziennikach aktywności platformy Azure z określonym zasobem, z którym są pobierane dane dziennika.
| Nazwa operacji | Typ zasobu |
|---|---|
| Tworzenie lub aktualizowanie skoroszytu | Microsoft. Szczegółowe informacje/skoroszyty |
| Usuwanie skoroszytu | Microsoft. Szczegółowe informacje/skoroszyty |
| Ustawianie przepływu pracy | Microsoft.Logic/workflows |
| Usuwanie przepływu pracy | Microsoft.Logic/workflows |
| Tworzenie zapisanego wyszukiwania | Microsoft.Operational Szczegółowe informacje/workspaces/savedSearches |
| Usuwanie zapisanego wyszukiwania | Microsoft.Operational Szczegółowe informacje/workspaces/savedSearches |
| Aktualizowanie reguł alertów | Microsoft.Security Szczegółowe informacje/alertRules |
| Usuwanie reguł alertów | Microsoft.Security Szczegółowe informacje/alertRules |
| Aktualizowanie akcji odpowiedzi reguły alertu | Microsoft.Security Szczegółowe informacje/alertRules/actions |
| Usuwanie akcji odpowiedzi reguły alertu | Microsoft.Security Szczegółowe informacje/alertRules/actions |
| Aktualizowanie zakładek | Microsoft.Security Szczegółowe informacje/zakładki |
| Usuwanie zakładek | Microsoft.Security Szczegółowe informacje/zakładki |
| Przypadki aktualizacji | Microsoft.Security Szczegółowe informacje/Sprawy |
| Badanie przypadku aktualizacji | Microsoft.Security Szczegółowe informacje/Sprawy/badania |
| Tworzenie komentarzy przypadków | Microsoft.Security Szczegółowe informacje/Sprawy/komentarze |
| Aktualizowanie łączników danych | Microsoft.Security Szczegółowe informacje/data Połączenie ors |
| Usuwanie łączników danych | Microsoft.Security Szczegółowe informacje/data Połączenie ors |
| Aktualizowanie ustawień | Microsoft.Security Szczegółowe informacje/settings |
Aby uzyskać więcej informacji, zobacz Schemat zdarzeń dziennika aktywności platformy Azure.
Inspekcja za pomocą dzienników LAQueryLogs
Tabela LAQueryLogs zawiera szczegółowe informacje o zapytaniach dzienników uruchamianych w usłudze Log Analytics. Ponieważ usługa Log Analytics jest używana jako bazowy magazyn danych usługi Microsoft Sentinel, możesz skonfigurować system do zbierania danych LAQueryLogs w obszarze roboczym usługi Microsoft Sentinel.
Dane LAQueryLogs obejmują takie informacje jak:
- Po uruchomieniu zapytań
- KtoTo uruchomione zapytania w usłudze Log Analytics
- Jakiego narzędzia użyto do uruchamiania zapytań w usłudze Log Analytics, takich jak Microsoft Sentinel
- Same teksty zapytań
- Dane wydajności każdego uruchomienia zapytania
Uwaga
- Tabela LAQueryLogs zawiera tylko zapytania, które zostały uruchomione w bloku Dzienniki usługi Microsoft Sentinel. Nie obejmuje ona zapytań uruchamianych według zaplanowanych reguł analizy przy użyciu wykresu badania lub na stronie wyszukiwania zagrożeń w usłudze Microsoft Sentinel.
- Może wystąpić krótkie opóźnienie między uruchomieniem zapytania a wypełnieniem danych w tabeli LAQueryLogs . Zalecamy odczekanie około 5 minut, aby wysłać zapytanie do tabeli LAQueryLogs na potrzeby danych inspekcji.
Aby wysłać zapytanie do tabeli LAQueryLogs:
Tabela LAQueryLogs nie jest domyślnie włączona w obszarze roboczym usługi Log Analytics. Aby użyć danych LAQueryLogs podczas inspekcji w usłudze Microsoft Sentinel, najpierw włącz dzienniki LAQueryLogs w obszarze ustawień diagnostyki obszaru roboczego usługi Log Analytics.
Aby uzyskać więcej informacji, zobacz Inspekcja zapytań w dziennikach usługi Azure Monitor.
Następnie wykonaj zapytanie dotyczące danych przy użyciu języka KQL, tak jak w przypadku każdej innej tabeli.
Na przykład następujące zapytanie pokazuje, ile zapytań zostało uruchomionych w ciągu ostatniego tygodnia, na podstawie dnia:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
W poniższych sekcjach przedstawiono więcej przykładowych zapytań do uruchomienia w tabeli LAQueryLogs podczas inspekcji działań w środowisku SOC przy użyciu usługi Microsoft Sentinel.
Liczba uruchomionych zapytań, w których odpowiedź nie była "OK"
Poniższe zapytanie tabeli LAQueryLogs pokazuje liczbę uruchomionych zapytań, gdzie odebrano wszystkie inne elementy niż odpowiedź HTTP 200 OK . Na przykład ta liczba będzie zawierać zapytania, które nie powiodły się.
LAQueryLogs
| where ResponseCode != 200
| count
Pokaż użytkowników na potrzeby zapytań intensywnie korzystających z procesora CPU
Poniższe zapytanie tabeli LAQueryLogs zawiera listę użytkowników, którzy uruchamiali najwięcej zapytań intensywnie korzystających z procesora CPU, na podstawie używanego procesora CPU i długości czasu zapytania.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Pokaż użytkowników, którzy uruchamiali większość zapytań w ciągu ostatniego tygodnia
Poniższe zapytanie tabeli LAQueryLogs zawiera listę użytkowników, którzy uruchamiali większość zapytań w zeszłym tygodniu.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurowanie alertów dla działań usługi Microsoft Sentinel
Możesz użyć zasobów inspekcji usługi Microsoft Sentinel w celu utworzenia proaktywnych alertów.
Jeśli na przykład masz poufne tabele w obszarze roboczym usługi Microsoft Sentinel, użyj następującego zapytania, aby powiadomić Cię za każdym razem, gdy te tabele są wysyłane do ciebie:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorowanie usługi Microsoft Sentinel przy użyciu skoroszytów, reguł i podręczników
Korzystanie z własnych funkcji usługi Microsoft Sentinel do monitorowania zdarzeń i akcji występujących w usłudze Microsoft Sentinel.
Monitorowanie za pomocą skoroszytów. Następujące skoroszyty zostały skompilowane w celu monitorowania aktywności obszaru roboczego:
- Inspekcja obszaru roboczego. Zawiera informacje o tym, którzy użytkownicy w środowisku wykonują akcje, które akcje zostały wykonane i nie tylko.
- Wydajność analizy. Zapewnia wgląd w to, które reguły analityczne są używane, które taktyka MITRE są najbardziej objęte, a zdarzenia generowane na podstawie reguł.
- Wydajność operacji zabezpieczeń. Przedstawia metryki dotyczące wydajności zespołu SOC, otwartych zdarzeń, zamkniętych zdarzeń i nie tylko. Ten skoroszyt może służyć do pokazywania wydajności zespołu i wyróżniania wszystkich obszarów, które mogą nie mieć uwagi.
- Monitorowanie kondycji zbierania danych. Pomaga obserwować zatrzymane lub zatrzymane pozyskiwanie.
Aby uzyskać więcej informacji, zobacz Często używane skoroszyty usługi Microsoft Sentinel.
Obserwuj opóźnienie pozyskiwania. Jeśli masz obawy dotyczące opóźnienia pozyskiwania, ustaw zmienną w regule analizy, aby reprezentować opóźnienie.
Na przykład następująca reguła analizy może pomóc w zapewnieniu, że wyniki nie zawierają duplikatów i że dzienniki nie są pomijane podczas uruchamiania reguł:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductAby uzyskać więcej informacji, zobacz Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.
Monitorowanie kondycji łącznika danych przy użyciu podręcznika Połączenie or Health Push Notification Solution w celu obserwowanego zatrzymania lub zatrzymania pozyskiwania danych oraz wysyłania powiadomień, gdy łącznik przestał zbierać dane lub maszyny przestały zgłaszać.
Następne kroki
W usłudze Microsoft Sentinel użyj skoroszytu inspekcji obszaru roboczego, aby przeprowadzić inspekcję działań w środowisku SOC.
Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych.