Freigeben über


Überwachen von Microsoft Sentinel-Abfragen und -Aktivitäten

In diesem Artikel wird beschrieben, wie Sie Überwachungsdaten für ausgeführte Abfragen und Aktivitäten in Ihrem Microsoft Sentinel-Arbeitsbereich anzeigen können, z. B. für interne und externe Complianceanforderungen im SOC-Arbeitsbereich (Security Operations).

Microsoft Sentinel bietet Zugriff auf:

  • Die Tabelle AzureActivity, die Details zu allen in Microsoft Sentinel ausgeführten Aktionen bereitstellt, z. B. zum Bearbeiten von Warnungsregeln. In der Tabelle AzureActivity werden bestimmte Abfragedaten nicht protokolliert. Weitere Informationen finden Sie unter Überwachen mit Azure-Aktivitätsprotokollen.

  • Die Tabelle LAQueryLogs, die Details zu den Abfragen bereitstellt, die in Log Analytics ausgeführt werden, einschließlich der von Microsoft Sentinel ausgeführten Abfragen. Weitere Informationen finden Sie unter Überwachung mit LAQueryLogs.

Tipp

Zusätzlich zu den in diesem Artikel beschriebenen manuellen Abfragen empfehlen wir, die integrierte Arbeitsmappe Arbeitsbereichsüberwachung zu verwenden, um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.

Voraussetzungen

Überwachen mit Azure-Aktivitätsprotokollen

Die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure-Aktivitätsprotokollen verwaltet, in denen die Tabelle AzureActivity alle Aktionen enthält, die in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt werden.

Verwenden Sie die Tabelle AzureActivity, wenn Sie die Aktivität in Ihrer SOC-Umgebung mit Microsoft Sentinel überwachen.

So fragen Sie die Tabelle AzureActivity ab:

  1. Installieren Sie die Azure Activity-Lösung für die Sentinel-Lösung, und verbinden Sie den Azure Activity-Datenconnector, um mit dem Streamen von Überwachungsereignissen in eine neue Tabelle mit dem Namen AzureActivity zu beginnen.

  2. Fragen Sie die Daten mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) ab, wie bei jeder anderen Tabelle:

    • Führen Sie Abfragen auf dieser Tabelle im Azure-Portal auf der Seite Protokolle durch.
    • Fragen Sie diese Tabelle in der Unified Security Operations Platform von Microsoft auf der Seite Untersuchung und Antwort > Suche >Erweiterte Suche ab.

    Die Tabelle AzureActivity enthält Daten aus vielen Diensten, einschließlich Microsoft Sentinel. Wenn Sie nur Daten aus Microsoft Sentinel filtern möchten, starten Sie die Abfrage mit folgendem Code:

     AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
    

    Um beispielsweise herauszufinden, wer der letzte Benutzer war, der eine bestimmte Analyseregel bearbeitet hat, verwenden Sie die folgende Abfrage (ersetzen Sie xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx durch die Regel-ID der Regel, die Sie überprüfen möchten):

    AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
    | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    | project Caller , TimeGenerated , Properties
    

Fügen Sie Ihrer Abfrage weitere Parameter hinzu, um die Tabelle AzureActivities weiter zu untersuchen, je nachdem, was Sie melden müssen. In den folgenden Abschnitten finden Sie weitere Beispielabfragen für die Überwachung mit Daten der Tabelle AzureActivity.

Weitere Informationen finden Sie unter In Azure-Aktivitätsprotokollen enthaltene Microsoft Sentinel-Daten.

Suchen aller Aktionen, die von einem bestimmten Benutzer in den letzten 24 Stunden ausgeführt wurden

Die folgende AzureActivity-Tabellenabfrage listet alle Aktionen auf, die von einem bestimmten Microsoft Entra-Benutzer in den letzten 24 Stunden ausgeführt wurden.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Suchen aller Löschvorgänge

Die folgende AzureActivity-Tabellenabfrage listet alle Löschvorgänge auf, die in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wurden.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

In Azure-Aktivitätsprotokollen enthaltene Microsoft Sentinel-Daten

Die Überwachungsprotokolle von Microsoft Sentinel werden in den Azure-Aktivitätsprotokollen verwaltet und enthalten die folgenden Informationstypen:

Vorgang Informationstypen
Erstellt Warnregeln
Case-Kommentare
Kommentare zum Incident
Gespeicherte Suchvorgänge
Watchlists
Arbeitsmappen
Gelöscht Warnregeln
Lesezeichen
Datenconnectors
Vorfälle
Gespeicherte Suchvorgänge
Einstellungen
Threat Intelligence-Berichte
Watchlists
Arbeitsmappen
Workflow
Aktualisiert Warnregeln
Lesezeichen
Fälle
Datenconnectors
Vorfälle
Kommentare zum Incident
Threat Intelligence-Berichte
Arbeitsmappen
Workflow

Sie können die Azure-Aktivitätsprotokolle auch verwenden, um nach Benutzerautorisierungen und Lizenzen zu suchen. In der folgenden Tabelle sind z. B. die in Azure-Aktivitätsprotokollen gefundenen ausgewählten Vorgänge mit der jeweiligen Ressource aufgelistet, aus der die Protokolldaten abgerufen werden.

Vorgangsname Ressourcentyp
Arbeitsmappe erstellen oder aktualisieren Microsoft.Insights/workbooks
Arbeitsmappe löschen Microsoft.Insights/workbooks
Workflow festlegen Microsoft.Logic/workflows
Workflow löschen Microsoft.Logic/workflows
Gespeicherten Suchvorgang erstellen Microsoft.OperationalInsights/workspaces/savedSearches
Gespeicherte Suche löschen Microsoft.OperationalInsights/workspaces/savedSearches
Warnungsregeln aktualisieren Microsoft.SecurityInsights/alertRules
Warnungsregeln löschen Microsoft.SecurityInsights/alertRules
Antwortaktionen für Warnungsregeln aktualisieren Microsoft.SecurityInsights/alertRules/actions
Antwortaktionen für Warnungsregeln löschen Microsoft.SecurityInsights/alertRules/actions
Lesezeichen aktualisieren Microsoft.SecurityInsights/bookmarks
Lesezeichen löschen Microsoft.SecurityInsights/bookmarks
Fälle aktualisieren Microsoft.SecurityInsights/Cases
Untersuchung von Fällen aktualisieren Microsoft.SecurityInsights/Cases/investigations
Kommentare zu Fällen erstellen Microsoft.SecurityInsights/Cases/comments
Datenconnectors aktualisieren Microsoft.SecurityInsights/dataConnectors
Datenconnectors löschen Microsoft.SecurityInsights/dataConnectors
Aktualisieren der Einstellungen Microsoft.SecurityInsights/settings

Weitere Informationen finden Sie unter Ereignisschema des Azure-Aktivitätsprotokolls.

Überwachung mit LAQueryLogs

Die Tabelle LAQueryLogs enthält Details zu Protokollabfragen, die in Log Analytics ausgeführt werden. Da Log Analytics als zugrunde liegender Datenspeicher von Microsoft Sentinel verwendet wird, können Sie Ihr System so konfigurieren, dass LAQueryLogs-Daten in Ihrem Microsoft Sentinel-Arbeitsbereich erfasst werden.

LAQueryLogs-Daten enthalten beispielsweise folgende Informationen:

  • Wann Abfragen ausgeführt wurden
  • Wer Abfragen in Log Analytics ausführte
  • Welches Tool zum Ausführen von Abfragen in Log Analytics verwendet wurde, z. B. Microsoft Sentinel
  • Die Abfragetexte selbst
  • Leistungsdaten bei jeder Abfrageausführung

Hinweis

  • Die Tabelle LAQueryLogs enthält nur Abfragen, die auf dem Blatt „Protokolle“ von Microsoft Sentinel ausgeführt wurden. Es enthält nicht die Abfragen, die von geplanten Analyseregeln ausgeführt werden, unter Verwendung des Investigation Graph auf der Seite der Microsoft Sentinel Suche oder auf der Seite Erweiterte Suche des Defender-Portals.

  • Zwischen dem Zeitpunkt, zu dem eine Abfrage ausgeführt wird, und dem Füllen der Daten in der Tabelle LAQueryLogs kann es zu einer kurzen Verzögerung kommen. Es wird empfohlen, ungefähr 5 Minuten auf die Abfrage der Tabelle LAQueryLogs für Überwachungsdaten zu warten.

So fragen Sie die Tabelle LAQueryLogs ab:

  1. Die Tabelle LAQueryLogs ist in Ihrem Log Analytics-Arbeitsbereich standardmäßig nicht aktiviert. Wenn Sie bei der Überwachung in Microsoft Sentinel LAQueryLogs-Daten verwenden möchten, aktivieren Sie zuerst LAQueryLogs im Bereich Diagnoseeinstellungen in Ihrem Log Analytics-Arbeitsbereich.

    Weitere Informationen finden Sie unter Überwachen von Abfragen in Azure Monitor-Protokollen.

  2. Fragen Sie die Daten dann wie jede andere Tabelle mit KQL ab.

    Die folgende Abfrage zeigt z. B. an, wie viele Abfragen in der letzten Woche pro Tag ausgeführt wurden:

    LAQueryLogs
    | where TimeGenerated > ago(7d)
    | summarize events_count=count() by bin(TimeGenerated, 1d)
    

In den folgenden Abschnitten werden weitere Beispielabfragen gezeigt, die für die Tabelle LAQueryLogs ausgeführt werden können, wenn Sie Aktivitäten in Ihrer SOC-Umgebung mithilfe von Microsoft Sentinel überwachen.

Die Anzahl der ausgeführten Abfragen, bei denen die Antwort nicht „OK“ war

Die folgende LAQueryLogs-Tabellenabfrage zeigt die Anzahl der ausgeführten Abfragen an, bei denen eine andere HTTP-Antwort als 200 OK erhalten wurde. Diese Zahl enthält z. B. Abfragen, die nicht ausgeführt werden konnten.

LAQueryLogs
| where ResponseCode != 200 
| count 

Anzeigen von Benutzern für CPU-intensive Abfragen

In der folgenden LAQueryLogs-Tabellenabfrage werden die Benutzer aufgeführt, die die meisten CPU-intensiven Abfragen ausgeführt haben, basierend auf der verwendeten CPU und der Länge der Abfragezeit.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

Anzeigen von Benutzern, die die meisten Abfragen in der letzten Woche ausgeführt haben

In der folgenden LAQueryLogs-Tabellenabfrage werden die Benutzer aufgeführt, die die meisten Abfragen in der letzten Woche ausgeführt haben.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Konfigurieren von Warnungen für Microsoft Sentinel-Aktivitäten

Möglicherweise möchten Sie Microsoft Sentinel-Überwachungsressourcen verwenden, um proaktive Warnungen zu erstellen.

Wenn Sie z. B. sensible Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich haben, können Sie die folgende Abfrage verwenden, damit Sie bei jedem Abfragen dieser Tabellen benachrichtigt werden:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Überwachen von Microsoft Sentinel mit Arbeitsmappen, Regeln und Playbooks

Verwenden Sie die eigenen Features von Microsoft Sentinel, um Ereignisse und Aktionen zu überwachen, die in Microsoft Sentinel auftreten.

  • Überwachen mit Arbeitsmappen. Mehrere integrierte Microsoft Sentinel-Arbeitsmappen können Ihnen helfen, Arbeitsbereichsaktivitäten zu überwachen, einschließlich Informationen zu den Benutzern, die in Ihrem Arbeitsbereich arbeiten, den verwendeten Analyseregeln, den MITRE-Taktiken, die am öftesten abgedeckt, angehalten oder die Erfassungen angehalten haben, und der Leistung des SOC-Teams.

    Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel und Häufig verwendete Microsoft Sentinel-Arbeitsmappen

  • Achten auf Erfassungsverzögerungen. Wenn Sie Bedenken wegen der Erfassungsverzögerung haben, legen Sie eine Variable in einer Analyseregel fest, um die Verzögerung darzustellen.

    Die folgende Analyseregel kann beispielsweise dazu beitragen, sicherzustellen, dass die Ergebnisse keine Duplikate enthalten, und dass Protokolle beim Ausführen der Regeln nicht ignoriert werden:

    let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
    - Calculating ingestion delay
      CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
    

    Weitere Informationen finden Sie unter Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln.

  • Überwachen Sie die Integrität des Datenconnectors mithilfe des Playbooks Connector Health Push Notification Solution (Pushbenachrichtigungslösung zur Connectorintegrität), um auf eine angehaltene oder beendete Erfassung zu achten und Benachrichtigungen zu senden, wenn ein Connector das Erfassen von Daten beendet hat oder Computer die Berichterstellung beendet haben.

Nächster Schritt

Verwenden Sie in Microsoft Sentinel die Arbeitsmappe Arbeitsbereichsüberwachung, um die Aktivitäten in Ihrer SOC-Umgebung zu überwachen. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.