Überwachen von Microsoft Sentinel-Abfragen und -Aktivitäten
In diesem Artikel wird beschrieben, wie Sie Überwachungsdaten für ausgeführte Abfragen und Aktivitäten in Ihrem Microsoft Sentinel-Arbeitsbereich anzeigen können, z. B. für interne und externe Complianceanforderungen im SOC-Arbeitsbereich (Security Operations).
Microsoft Sentinel bietet Zugriff auf:
Die Tabelle AzureActivity, die Details zu allen in Microsoft Sentinel ausgeführten Aktionen bereitstellt, z. B. zum Bearbeiten von Warnungsregeln. In der Tabelle AzureActivity werden bestimmte Abfragedaten nicht protokolliert. Weitere Informationen finden Sie unter Überwachen mit Azure-Aktivitätsprotokollen.
Die Tabelle LAQueryLogs, die Details zu den Abfragen bereitstellt, die in Log Analytics ausgeführt werden, einschließlich der von Microsoft Sentinel ausgeführten Abfragen. Weitere Informationen finden Sie unter Überwachung mit LAQueryLogs.
Tipp
Zusätzlich zu den in diesem Artikel beschriebenen manuellen Abfragen empfehlen wir, die integrierte Arbeitsmappe Arbeitsbereichsüberwachung zu verwenden, um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Voraussetzungen
Bevor Sie die Beispielabfragen in diesem Artikel erfolgreich ausführen können, müssen Sie relevante Daten in Ihrem Microsoft Sentinel-Arbeitsbereich haben, um Abfragen auf Microsoft Sentinel durchzuführen und darauf zugreifen zu können.
Weitere Informationen finden Sie unter Konfigurieren von Microsoft Sentinel-Inhalten und Rollen und Berechtigungen in Microsoft Sentinel.
Überwachen mit Azure-Aktivitätsprotokollen
Die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure-Aktivitätsprotokollen verwaltet, in denen die Tabelle AzureActivity alle Aktionen enthält, die in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt werden.
Verwenden Sie die Tabelle AzureActivity, wenn Sie die Aktivität in Ihrer SOC-Umgebung mit Microsoft Sentinel überwachen.
So fragen Sie die Tabelle AzureActivity ab:
Installieren Sie die Azure Activity-Lösung für die Sentinel-Lösung, und verbinden Sie den Azure Activity-Datenconnector, um mit dem Streamen von Überwachungsereignissen in eine neue Tabelle mit dem Namen
AzureActivity
zu beginnen.Fragen Sie die Daten mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) ab, wie bei jeder anderen Tabelle:
- Führen Sie Abfragen auf dieser Tabelle im Azure-Portal auf der Seite Protokolle durch.
- Fragen Sie diese Tabelle in der Unified Security Operations Platform von Microsoft auf der Seite Untersuchung und Antwort > Suche >Erweiterte Suche ab.
Die Tabelle AzureActivity enthält Daten aus vielen Diensten, einschließlich Microsoft Sentinel. Wenn Sie nur Daten aus Microsoft Sentinel filtern möchten, starten Sie die Abfrage mit folgendem Code:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
Um beispielsweise herauszufinden, wer der letzte Benutzer war, der eine bestimmte Analyseregel bearbeitet hat, verwenden Sie die folgende Abfrage (ersetzen Sie
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
durch die Regel-ID der Regel, die Sie überprüfen möchten):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Fügen Sie Ihrer Abfrage weitere Parameter hinzu, um die Tabelle AzureActivities weiter zu untersuchen, je nachdem, was Sie melden müssen. In den folgenden Abschnitten finden Sie weitere Beispielabfragen für die Überwachung mit Daten der Tabelle AzureActivity.
Weitere Informationen finden Sie unter In Azure-Aktivitätsprotokollen enthaltene Microsoft Sentinel-Daten.
Suchen aller Aktionen, die von einem bestimmten Benutzer in den letzten 24 Stunden ausgeführt wurden
Die folgende AzureActivity-Tabellenabfrage listet alle Aktionen auf, die von einem bestimmten Microsoft Entra-Benutzer in den letzten 24 Stunden ausgeführt wurden.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Suchen aller Löschvorgänge
Die folgende AzureActivity-Tabellenabfrage listet alle Löschvorgänge auf, die in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wurden.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
In Azure-Aktivitätsprotokollen enthaltene Microsoft Sentinel-Daten
Die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure-Aktivitätsprotokollen verwaltet und enthalten die folgenden Informationstypen:
Vorgang | Informationstypen |
---|---|
Erstellt | Warnregeln Case-Kommentare Kommentare zum Incident Gespeicherte Suchvorgänge Watchlists Arbeitsmappen |
Gelöscht | Warnregeln Lesezeichen Datenconnectors Vorfälle Gespeicherte Suchvorgänge Einstellungen Threat Intelligence-Berichte Watchlists Arbeitsmappen Workflow |
Aktualisiert | Warnregeln Lesezeichen Fälle Datenconnectors Vorfälle Kommentare zum Incident Threat Intelligence-Berichte Arbeitsmappen Workflow |
Sie können die Azure-Aktivitätsprotokolle auch verwenden, um nach Benutzerautorisierungen und Lizenzen zu suchen. In der folgenden Tabelle sind z. B. die in Azure-Aktivitätsprotokollen gefundenen ausgewählten Vorgänge mit der jeweiligen Ressource aufgelistet, aus der die Protokolldaten abgerufen werden.
Vorgangsname | Ressourcentyp |
---|---|
Arbeitsmappe erstellen oder aktualisieren | Microsoft.Insights/workbooks |
Arbeitsmappe löschen | Microsoft.Insights/workbooks |
Workflow festlegen | Microsoft.Logic/workflows |
Workflow löschen | Microsoft.Logic/workflows |
Gespeicherten Suchvorgang erstellen | Microsoft.OperationalInsights/workspaces/savedSearches |
Gespeicherte Suche löschen | Microsoft.OperationalInsights/workspaces/savedSearches |
Warnungsregeln aktualisieren | Microsoft.SecurityInsights/alertRules |
Warnungsregeln löschen | Microsoft.SecurityInsights/alertRules |
Antwortaktionen für Warnungsregeln aktualisieren | Microsoft.SecurityInsights/alertRules/actions |
Antwortaktionen für Warnungsregeln löschen | Microsoft.SecurityInsights/alertRules/actions |
Lesezeichen aktualisieren | Microsoft.SecurityInsights/bookmarks |
Lesezeichen löschen | Microsoft.SecurityInsights/bookmarks |
Fälle aktualisieren | Microsoft.SecurityInsights/Cases |
Untersuchung von Fällen aktualisieren | Microsoft.SecurityInsights/Cases/investigations |
Kommentare zu Fällen erstellen | Microsoft.SecurityInsights/Cases/comments |
Datenconnectors aktualisieren | Microsoft.SecurityInsights/dataConnectors |
Datenconnectors löschen | Microsoft.SecurityInsights/dataConnectors |
Aktualisieren der Einstellungen | Microsoft.SecurityInsights/settings |
Weitere Informationen finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.
Überwachung mit LAQueryLogs
Die Tabelle LAQueryLogs enthält Details zu Protokollabfragen, die in Log Analytics ausgeführt werden. Da Log Analytics als zugrunde liegender Datenspeicher von Microsoft Sentinel verwendet wird, können Sie Ihr System so konfigurieren, dass LAQueryLogs-Daten in Ihrem Microsoft Sentinel-Arbeitsbereich erfasst werden.
LAQueryLogs-Daten enthalten beispielsweise folgende Informationen:
- Wann Abfragen ausgeführt wurden
- Wer Abfragen in Log Analytics ausführte
- Welches Tool zum Ausführen von Abfragen in Log Analytics verwendet wurde, z. B. Microsoft Sentinel
- Die Abfragetexte selbst
- Leistungsdaten bei jeder Abfrageausführung
Hinweis
Die Tabelle LAQueryLogs enthält nur Abfragen, die auf dem Blatt „Protokolle“ von Microsoft Sentinel ausgeführt wurden. Es enthält nicht die Abfragen, die von geplanten Analyseregeln ausgeführt werden, unter Verwendung des Investigation Graph auf der Seite der Microsoft Sentinel Suche oder auf der Seite Erweiterte Suche des Defender-Portals.
Zwischen dem Zeitpunkt, zu dem eine Abfrage ausgeführt wird, und dem Füllen der Daten in der Tabelle LAQueryLogs kann es zu einer kurzen Verzögerung kommen. Es wird empfohlen, ungefähr 5 Minuten auf die Abfrage der Tabelle LAQueryLogs für Überwachungsdaten zu warten.
So fragen Sie die Tabelle LAQueryLogs ab:
Die Tabelle LAQueryLogs ist in Ihrem Log Analytics-Arbeitsbereich standardmäßig nicht aktiviert. Wenn Sie bei der Überwachung in Microsoft Sentinel LAQueryLogs-Daten verwenden möchten, aktivieren Sie zuerst LAQueryLogs im Bereich Diagnoseeinstellungen in Ihrem Log Analytics-Arbeitsbereich.
Weitere Informationen finden Sie unter Überwachen von Abfragen in Azure Monitor-Protokollen.
Fragen Sie die Daten dann wie jede andere Tabelle mit KQL ab.
Die folgende Abfrage zeigt z. B. an, wie viele Abfragen in der letzten Woche pro Tag ausgeführt wurden:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
In den folgenden Abschnitten werden weitere Beispielabfragen gezeigt, die für die Tabelle LAQueryLogs ausgeführt werden können, wenn Sie Aktivitäten in Ihrer SOC-Umgebung mithilfe von Microsoft Sentinel überwachen.
Die Anzahl der ausgeführten Abfragen, bei denen die Antwort nicht „OK“ war
Die folgende LAQueryLogs-Tabellenabfrage zeigt die Anzahl der ausgeführten Abfragen an, bei denen eine andere HTTP-Antwort als 200 OK erhalten wurde. Diese Zahl enthält z. B. Abfragen, die nicht ausgeführt werden konnten.
LAQueryLogs
| where ResponseCode != 200
| count
Anzeigen von Benutzern für CPU-intensive Abfragen
In der folgenden LAQueryLogs-Tabellenabfrage werden die Benutzer aufgeführt, die die meisten CPU-intensiven Abfragen ausgeführt haben, basierend auf der verwendeten CPU und der Länge der Abfragezeit.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Anzeigen von Benutzern, die die meisten Abfragen in der letzten Woche ausgeführt haben
In der folgenden LAQueryLogs-Tabellenabfrage werden die Benutzer aufgeführt, die die meisten Abfragen in der letzten Woche ausgeführt haben.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurieren von Warnungen für Microsoft Sentinel-Aktivitäten
Möglicherweise möchten Sie Microsoft Sentinel-Überwachungsressourcen verwenden, um proaktive Warnungen zu erstellen.
Wenn Sie z. B. sensible Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich haben, können Sie die folgende Abfrage verwenden, damit Sie bei jedem Abfragen dieser Tabellen benachrichtigt werden:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Überwachen von Microsoft Sentinel mit Arbeitsmappen, Regeln und Playbooks
Verwenden Sie die eigenen Features von Microsoft Sentinel, um Ereignisse und Aktionen zu überwachen, die in Microsoft Sentinel auftreten.
Überwachen mit Arbeitsmappen. Mehrere integrierte Microsoft Sentinel-Arbeitsmappen können Ihnen helfen, Arbeitsbereichsaktivitäten zu überwachen, einschließlich Informationen zu den Benutzern, die in Ihrem Arbeitsbereich arbeiten, den verwendeten Analyseregeln, den MITRE-Taktiken, die am öftesten abgedeckt, angehalten oder die Erfassungen angehalten haben, und der Leistung des SOC-Teams.
Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel und Häufig verwendete Microsoft Sentinel-Arbeitsmappen
Achten auf Erfassungsverzögerungen. Wenn Sie Bedenken wegen der Erfassungsverzögerung haben, legen Sie eine Variable in einer Analyseregel fest, um die Verzögerung darzustellen.
Die folgende Analyseregel kann beispielsweise dazu beitragen, sicherzustellen, dass die Ergebnisse keine Duplikate enthalten, und dass Protokolle beim Ausführen der Regeln nicht ignoriert werden:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
Weitere Informationen finden Sie unter Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln.
Überwachen Sie die Integrität des Datenconnectors mithilfe des Playbooks Connector Health Push Notification Solution (Pushbenachrichtigungslösung zur Connectorintegrität), um auf eine angehaltene oder beendete Erfassung zu achten und Benachrichtigungen zu senden, wenn ein Connector das Erfassen von Daten beendet hat oder Computer die Berichterstellung beendet haben.
Nächster Schritt
Verwenden Sie in Microsoft Sentinel die Arbeitsmappe Arbeitsbereichsüberwachung, um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.