Granska Microsoft Sentinel-frågor och aktiviteter
Den här artikeln beskriver hur du kan visa granskningsdata för frågor som körs och aktiviteter som utförs på din Microsoft Sentinel-arbetsyta, till exempel för interna och externa efterlevnadskrav på din SOC-arbetsyta (Security Operations).
Microsoft Sentinel ger åtkomst till:
Tabellen AzureActivity , som innehåller information om alla åtgärder som vidtas i Microsoft Sentinel, till exempel redigering av aviseringsregler. AzureActivity-tabellen loggar inte specifika frågedata. Mer information finns i Granskning med Azure-aktivitetsloggar.
LaQueryLogs-tabellen, som innehåller information om de frågor som körs i Log Analytics, inklusive frågor som körs från Microsoft Sentinel. Mer information finns i Granskning med LAQueryLogs.
Dricks
Förutom de manuella frågor som beskrivs i den här artikeln tillhandahåller Microsoft Sentinel en inbyggd arbetsbok som hjälper dig att granska aktiviteterna i din SOC-miljö.
I området Microsoft Sentinel-arbetsböcker söker du efter arbetsytans granskningsarbetsbok.
Granskning med Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna, där AzureActivity-tabellen innehåller alla åtgärder som vidtas på din Microsoft Sentinel-arbetsyta.
Du kan använda AzureActivity-tabellen när du granskar aktivitet i din SOC-miljö med Microsoft Sentinel.
Så här frågar du azureactivity-tabellen:
AnslutAzure Activity-datakälla för att börja strömma granskningshändelser till en ny tabell på skärmen Loggar med namnet AzureActivity.
Kör sedan frågor mot data med hjälp av KQL, precis som med andra tabeller.
AzureActivity-tabellen innehåller data från många tjänster, inklusive Microsoft Sentinel. Om du bara vill filtrera in data från Microsoft Sentinel startar du frågan med följande kod:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
Om du till exempel vill ta reda på vem som senast redigerade en viss analysregel använder du följande fråga (ersätter
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
med regel-ID:t för regeln som du vill kontrollera):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Lägg till fler parametrar i din fråga för att utforska Tabellen AzureActivities ytterligare, beroende på vad du behöver rapportera. Följande avsnitt innehåller andra exempelfrågor som ska användas vid granskning med AzureActivity-tabelldata .
Mer information finns i Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar.
Hitta alla åtgärder som vidtagits av en viss användare under de senaste 24 timmarna
Följande AzureActivity-tabellfråga visar alla åtgärder som vidtagits av en specifik Microsoft Entra-användare under de senaste 24 timmarna.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Hitta alla borttagningsåtgärder
Följande AzureActivity-tabellfråga visar en lista över alla borttagningsåtgärder som utförs på din Microsoft Sentinel-arbetsyta.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna och innehåller följande typer av information:
Åtgärd | Informationstyper |
---|---|
Skapat | Aviseringsregler Ärendekommentar Incidentkommentar Sparade sökningar Visningslistor Arbetsböcker |
Borttagen | Aviseringsregler Bokmärken Dataanslutningar Incidenter Sparade sökningar Inställningar Rapporter om hotinformation Visningslistor Arbetsböcker Workflow |
Uppdaterat | Aviseringsregler Bokmärken Fall Dataanslutningar Incidenter Incidentkommentar Rapporter om hotinformation Arbetsböcker Workflow |
Du kan också använda Azure-aktivitetsloggarna för att söka efter användarauktoriseringar och licenser.
I följande tabell visas till exempel valda åtgärder som finns i Azure-aktivitetsloggar med den specifika resurs som loggdata hämtas från.
Operationsnamn | Resurstyp |
---|---|
Skapa eller uppdatera arbetsbok | Microsoft.Insights/arbetsböcker |
Ta bort arbetsbok | Microsoft.Insights/arbetsböcker |
Ange arbetsflöde | Microsoft.Logic/workflows |
Ta bort arbetsflöde | Microsoft.Logic/workflows |
Skapa sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
Ta bort sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
Uppdatera aviseringsregler | Microsoft.SecurityInsights/alertRules |
Ta bort aviseringsregler | Microsoft.SecurityInsights/alertRules |
Uppdatera svarsåtgärder för aviseringsregeln | Microsoft.SecurityInsights/alertRules/actions |
Ta bort svarsåtgärder för aviseringsregel | Microsoft.SecurityInsights/alertRules/actions |
Uppdatera bokmärken | Microsoft.SecurityInsights/bokmärken |
Ta bort bokmärken | Microsoft.SecurityInsights/bokmärken |
Uppdateringsfall | Microsoft.SecurityInsights/Cases |
Undersökning av uppdateringsfall | Microsoft.SecurityInsights/Cases/investigations |
Skapa ärendekommentar | Microsoft.SecurityInsights/Cases/comments |
Uppdatera dataanslutningar | Microsoft.SecurityInsights/data Anslut orer |
Ta bort dataanslutningar | Microsoft.SecurityInsights/data Anslut orer |
Uppdatera inställningar | Microsoft.SecurityInsights/settings |
Mer information finns i Händelseschema för Azure-aktivitetslogg.
Granskning med LAQueryLogs
LaQueryLogs-tabellen innehåller information om loggfrågor som körs i Log Analytics. Eftersom Log Analytics används som Microsoft Sentinels underliggande datalager kan du konfigurera systemet för att samla in LAQueryLogs-data på din Microsoft Sentinel-arbetsyta.
LAQueryLogs-data innehåller information som:
- När frågor kördes
- Vem körde frågor i Log Analytics
- Vilket verktyg användes för att köra frågor i Log Analytics, till exempel Microsoft Sentinel
- Själva frågetexterna
- Prestandadata för varje frågekörning
Kommentar
- LAQueryLogs-tabellen innehåller endast frågor som har körts på bladet Loggar i Microsoft Sentinel. Den innehåller inte de frågor som körs av schemalagda analysregler, med hjälp av undersökningsgrafen eller på sidan Microsoft Sentinel-jakt.
- Det kan uppstå en kort fördröjning mellan den tid då en fråga körs och data fylls i i tabellen LAQueryLogs . Vi rekommenderar att du väntar ungefär 5 minuter för att fråga LAQueryLogs-tabellen om granskningsdata .
Så här frågar du laQueryLogs-tabellen:
LaQueryLogs-tabellen är inte aktiverad som standard på Log Analytics-arbetsytan. Om du vill använda LAQueryLogs-data vid granskning i Microsoft Sentinel aktiverar du först LAQueryLogs i log analytics-arbetsytans diagnostikinställningar.
Mer information finns i Granska frågor i Azure Monitor-loggar.
Kör sedan frågor mot data med hjälp av KQL, precis som med andra tabeller.
Följande fråga visar till exempel hur många frågor som kördes under den senaste veckan, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
I följande avsnitt visas fler exempelfrågor som ska köras i tabellen LAQueryLogs vid granskning av aktiviteter i SOC-miljön med Microsoft Sentinel.
Antalet frågor som körs där svaret inte var "OK"
Följande LAQueryLogs-tabellfråga visar antalet frågor som körs, där allt annat än ett HTTP-svar på 200 OK togs emot. Det här numret innehåller till exempel frågor som inte kunde köras.
LAQueryLogs
| where ResponseCode != 200
| count
Visa användare för CPU-intensiva frågor
Följande LAQueryLogs-tabellfråga visar de användare som körde de mest CPU-intensiva frågorna, baserat på processoranvändning och längden på frågetiden.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Visa användare som kört flest frågor den senaste veckan
Följande LAQueryLogs-tabellfråga visar de användare som körde flest frågor under den senaste veckan.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurera aviseringar för Microsoft Sentinel-aktiviteter
Du kanske vill använda Microsoft Sentinel-granskningsresurser för att skapa proaktiva aviseringar.
Om du till exempel har känsliga tabeller på din Microsoft Sentinel-arbetsyta använder du följande fråga för att meddela dig varje gång tabellerna efterfrågas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Övervaka Microsoft Sentinel med arbetsböcker, regler och spelböcker
Använd Microsoft Sentinels egna funktioner för att övervaka händelser och åtgärder som inträffar i Microsoft Sentinel.
Övervaka med arbetsböcker. Följande arbetsböcker har skapats för att övervaka arbetsyteaktivitet:
- Granskning av arbetsyta. Innehåller information om vilka användare i miljön som utför åtgärder, vilka åtgärder de har utfört med mera.
- Analyseffektivitet. Ger insikt i vilka analysregler som används, vilka MITRE-taktiker som omfattas mest och incidenter som genereras från reglerna.
- Effektivitet för säkerhetsåtgärder. Visar mått för SOC-teamets prestanda, incidenter som öppnats, incidenter som stängts med mera. Den här arbetsboken kan användas för att visa teamets prestanda och markera alla områden som kanske inte behöver åtgärdas.
- Hälsoövervakning av datainsamling. Hjälper till att titta efter stoppade eller stoppade inmatningar.
Mer information finns i Vanliga Microsoft Sentinel-arbetsböcker.
Håll utkik efter inmatningsfördröjning. Om du har problem med inmatningsfördröjning anger du en variabel i en analysregel som representerar fördröjningen.
Följande analysregel kan till exempel bidra till att säkerställa att resultaten inte innehåller dubbletter och att loggarna inte missas när du kör reglerna:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
Mer information finns i Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler.
Övervaka hälsotillståndetför dataanslutningar med hjälp av spelboken Anslut eller Hälso push-meddelandelösning för att hålla utkik efter stoppad eller stoppad inmatning och skicka meddelanden när en anslutningsapp har slutat samla in data eller datorer har slutat rapportera.
Nästa steg
I Microsoft Sentinel använder du arbetsytans granskningsarbetsbok för att granska aktiviteterna i din SOC-miljö.
Mer information finns i Visualisera och övervaka dina data.