Audit dotazů a aktivit Microsoft Sentinelu
Tento článek popisuje, jak můžete zobrazit data auditu pro dotazy spuštěné a aktivity prováděné v pracovním prostoru Služby Microsoft Sentinel, jako jsou interní a externí požadavky na dodržování předpisů v pracovním prostoru Operace zabezpečení (SOC).
Microsoft Sentinel poskytuje přístup k:
Tabulka AzureActivity , která obsahuje podrobnosti o všech akcích provedených v Microsoft Sentinelu, jako jsou úpravy pravidel upozornění. Tabulka AzureActivity neuvádí konkrétní data dotazů. Další informace najdete v tématu Auditování s využitím protokolů aktivit Azure.
Tabulka LAQueryLogs , která poskytuje podrobnosti o dotazech spuštěných v Log Analytics, včetně dotazů spuštěných z Microsoft Sentinelu. Další informace najdete v tématu Auditování pomocí LAQueryLogs.
Tip
Kromě ručních dotazů popsaných v tomto článku doporučujeme použít integrovaný sešit auditu pracovního prostoru, který vám pomůže auditovat aktivity ve vašem prostředí SOC. Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu.
Požadavky
Než budete moct úspěšně spustit ukázkové dotazy v tomto článku, musíte mít v pracovním prostoru Služby Microsoft Sentinel relevantní data, abyste mohli provádět dotazy a přistupovat k nim.
Další informace najdete v tématu Konfigurace obsahu a rolí a oprávnění služby Microsoft Sentinel v Microsoft Sentinelu.
Auditování s využitím protokolů aktivit Azure
Protokoly auditu Microsoft Sentinelu se uchovávají v protokolech aktivit Azure, kde tabulka AzureActivity zahrnuje všechny akce provedené v pracovním prostoru Microsoft Sentinelu.
Tabulku AzureActivity použijte při auditování aktivity v prostředí SOC s Microsoft Sentinelem.
Dotazování tabulky AzureActivity:
Nainstalujte řešení aktivit Azure pro řešení Sentinel a připojte datový konektor aktivit Azure a zahajte streamování událostí auditu do nové tabulky s názvem
AzureActivity.Dotazujte se na data pomocí dotazovací jazyk Kusto (KQL), stejně jako jakoukoli jinou tabulku:
- Na webu Azure Portal zadejte dotaz na tuto tabulku na stránce Protokoly.
- V rámci sjednocené platformy operací zabezpečení Microsoftu zadejte dotaz na tuto tabulku na stránce proaktivního >vyhledávání proaktivního vyhledávání pro šetření a odpovědi>.
Tabulka AzureActivity obsahuje data z mnoha služeb, včetně Microsoft Sentinelu. Pokud chcete filtrovat jenom data z Microsoft Sentinelu, spusťte dotaz následujícím kódem:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Pokud chcete například zjistit, kdo byl posledním uživatelem pro úpravu konkrétního analytického pravidla, použijte následující dotaz (nahraďte
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxID pravidla pravidla, které chcete zkontrolovat):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Přidejte do dotazu další parametry a prozkoumejte tabulku AzureActivities v závislosti na tom, co potřebujete nahlásit. Následující části obsahují další ukázkové dotazy, které se mají použít při auditování s daty tabulky AzureActivity .
Další informace najdete v tématu Data služby Microsoft Sentinel zahrnutá v protokolech aktivit Azure.
Vyhledání všech akcí provedených konkrétním uživatelem za posledních 24 hodin
Následující dotaz tabulky AzureActivity uvádí všechny akce prováděné konkrétním uživatelem Microsoft Entra za posledních 24 hodin.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Vyhledání všech operací odstranění
Následující dotaz tabulky AzureActivity obsahuje seznam všech operací odstranění provedených v pracovním prostoru Služby Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Data Služby Microsoft Sentinel zahrnutá v protokolech aktivit Azure
Protokoly auditu Služby Microsoft Sentinel se uchovávají v protokolech aktivit Azure a zahrnují následující typy informací:
| Operace | Typy informací |
|---|---|
| Vytvořeno | Pravidla upozornění Komentáře k případu Komentáře k incidentu Uložená hledání Seznamy ke zhlédnutí Workbooks |
| Odstraněno | Pravidla upozornění Záložky Datové konektory Incidenty Uložená hledání Nastavení Sestavy analýzy hrozeb Seznamy ke zhlédnutí Sešity Workflow |
| Aktualizováno | Pravidla upozornění Záložky Pouzdra Datové konektory Incidenty Komentáře k incidentu Sestavy analýzy hrozeb Sešity Workflow |
Protokoly aktivit Azure můžete také použít ke kontrole autorizací a licencí uživatelů. Například následující tabulka uvádí vybrané operace nalezené v protokolech aktivit Azure s konkrétním prostředkem, ze které se načítá data protokolu.
| Název operace | Typ prostředku |
|---|---|
| Vytvoření nebo aktualizace sešitu | Microsoft.Insights/workbooks |
| Odstranění sešitu | Microsoft.Insights/workbooks |
| Nastavit pracovní postup | Microsoft.Logic/workflows |
| Odstranit pracovní postup | Microsoft.Logic/workflows |
| Vytvoření uloženého hledání | Microsoft.OperationalInsights/workspaces/savedSearches |
| Odstranění uloženého hledání | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aktualizace pravidel upozornění | Microsoft.SecurityInsights/alertRules |
| Odstranění pravidel upozornění | Microsoft.SecurityInsights/alertRules |
| Aktualizace akcí odpovědi pravidla upozornění | Microsoft.SecurityInsights/alertRules/actions |
| Odstranění akcí odpovědi pravidla upozornění | Microsoft.SecurityInsights/alertRules/actions |
| Aktualizace záložek | Microsoft.SecurityInsights/bookmarks |
| Odstranění záložek | Microsoft.SecurityInsights/bookmarks |
| Případy aktualizace | Microsoft.SecurityInsights/Cases |
| Šetření případu aktualizace | Microsoft.SecurityInsights/Cases/investigations |
| Vytváření komentářů k případu | Microsoft.SecurityInsights/Cases/comments |
| Aktualizace datových konektorů | Microsoft.SecurityInsights/dataConnectors |
| Odstranění datových konektorů | Microsoft.SecurityInsights/dataConnectors |
| Aktualizace nastavení | Microsoft.SecurityInsights/settings |
Další informace najdete v tématu Schéma událostí protokolu aktivit Azure.
Auditování pomocí LAQueryLogs
Tabulka LAQueryLogs obsahuje podrobnosti o dotazech protokolu spuštěných v Log Analytics. Vzhledem k tomu, že log Analytics se používá jako základní úložiště dat Microsoft Sentinelu, můžete svůj systém nakonfigurovat tak, aby shromažďovat data LAQueryLogs v pracovním prostoru Microsoft Sentinelu.
Data LAQueryLogs obsahují například tyto informace:
- Při spuštění dotazů
- Kdo spustil dotazy v Log Analytics
- Jaký nástroj se použil ke spouštění dotazů v Log Analytics, jako je Microsoft Sentinel
- Samotné texty dotazů
- Údaje o výkonu při každém spuštění dotazu
Poznámka:
Tabulka LAQueryLogs obsahuje pouze dotazy, které byly spuštěny v okně Protokoly služby Microsoft Sentinel. Nezahrnuje dotazy spouštěné podle plánovaných analytických pravidel, pomocí grafu šetření, na stránce proaktivního vyhledávání služby Microsoft Sentinel ani na stránce rozšířeného proaktivního vyhledávání na portálu Defender.
Mezi časem spuštění dotazu může dojít k krátké prodlevě a data se vyplní v tabulce LAQueryLogs . Doporučujeme počkat přibližně 5 minut na dotazování tabulky LAQueryLogs na data auditu.
Dotazování na tabulku LAQueryLogs:
Tabulka LAQueryLogs není ve výchozím nastavení v pracovním prostoru služby Log Analytics povolená. Pokud chcete při auditování v Microsoft Sentinelu použít data LAQueryLogs, nejprve povolte protokoly LAQueryLogs v oblasti Nastavení diagnostiky pracovního prostoru služby Log Analytics.
Další informace najdete v tématu Auditování dotazů v protokolech služby Azure Monitor.
Potom se dotazujte na data pomocí KQL, stejně jako jakoukoli jinou tabulku.
Následující dotaz například ukazuje, kolik dotazů se v posledním týdnu spustilo za den:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Následující části ukazují další ukázkové dotazy, které se mají spouštět v tabulce LAQueryLogs při auditování aktivit v prostředí SOC pomocí Služby Microsoft Sentinel.
Počet spuštěných dotazů, ve kterých odpověď nebyla "OK"
Následující dotaz tabulky LAQueryLogs zobrazuje počet spuštěných dotazů, kde byl přijat cokoli jiného než odpověď HTTP 200 OK . Toto číslo například zahrnuje dotazy, které se nepodařilo spustit.
LAQueryLogs
| where ResponseCode != 200
| count
Zobrazení uživatelů pro dotazy náročné na procesor
Následující dotaz tabulky LAQueryLogs obsahuje seznam uživatelů, kteří spustili dotazy náročné na procesor na základě využití procesoru a délky doby dotazování.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Zobrazení uživatelů, kteří v minulém týdnu spustili nejvíce dotazů
Následující dotaz tabulky LAQueryLogs uvádí uživatele, kteří v posledním týdnu spustili nejvíce dotazů.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurace upozornění pro aktivity Služby Microsoft Sentinel
K vytváření proaktivních upozornění můžete použít prostředky auditování služby Microsoft Sentinel.
Pokud máte například v pracovním prostoru Microsoft Sentinel citlivé tabulky, použijte následující dotaz, který vás upozorní při každém dotazování těchto tabulek:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorování Microsoft Sentinelu pomocí sešitů, pravidel a playbooků
Pomocí vlastních funkcí Microsoft Sentinelu můžete monitorovat události a akce, ke kterým dochází v rámci Microsoft Sentinelu.
Monitorujte pomocí sešitů. Několik předdefinovaných sešitů Microsoft Sentinelu vám může pomoct monitorovat aktivitu pracovního prostoru, včetně informací o uživatelích pracujících ve vašem pracovním prostoru, používaných analytických pravidel, nejčastějších taktik MITRE, zastavení nebo zastavení příjmu dat a výkonu týmu SOC.
Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu a běžně používaných sešitů Microsoft Sentinelu.
Sledujte zpoždění příjmu dat. Pokud máte obavy o zpoždění příjmu dat, nastavte proměnnou v analytickém pravidle tak, aby představovala zpoždění.
Následující analytické pravidlo může například pomoct zajistit, aby výsledky nezahrnovaly duplicity a aby se při spouštění pravidel nezmeškaly protokoly:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductDalší informace najdete v tématu Automatizace zpracování incidentů v Microsoft Sentinelu pomocí pravidel automatizace.
Monitorujte stav datového konektoru pomocí playbooku Řešení nabízených oznámení o stavu konektoru, abyste mohli sledovat zastavení nebo zastavení příjmu dat, a odesílání oznámení, když konektor přestal shromažďovat data nebo počítače, přestal hlásit.
Další krok
V Microsoft Sentinelu použijte sešit auditu pracovního prostoru k auditování aktivit ve vašem prostředí SOC. Další informace najdete v tématu Vizualizace a monitorování dat.