Auditoría de consultas y actividades de Microsoft Sentinel
En este artículo se describe cómo puede ver los datos de auditoría para las consultas ejecutadas y las actividades realizadas en el área de trabajo de Microsoft Sentinel, como los requisitos de cumplimiento internos y externos en el área de trabajo de las operaciones de seguridad (SOC).
Microsoft Sentinel proporciona acceso a:
La tabla AzureActivity, en la que se proporcionan detalles sobre todas las acciones realizadas en Microsoft Sentinel, como la edición de reglas de alertas. En la tabla AzureActivity no se registran datos específicos de la consulta. Para más información, consulte Auditoría con registros de actividad de Azure.
La tabla LAQueryLogs, en la que se proporcionan detalles sobre las consultas que se ejecutan en log Analytics, incluidas las consultas que se ejecutan desde Microsoft Sentinel. Para más información, consulte Auditoría con LAQueryLogs.
Sugerencia
Además de las consultas manuales que se describen en este artículo, le recomendamos que use el libro Auditoría de áreas de trabajo integrado para ayudarle a auditar las actividades en el entorno de SOC. Para más información, consulte Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel.
Requisitos previos
Para poder ejecutar correctamente las consultas de ejemplo de este artículo, debe tener datos pertinentes en el área de trabajo de Microsoft Sentinel para consultar y acceder a Microsoft Sentinel.
Para obtener más información, consulte Configuración del contenido de Microsoft Sentinel y Roles y permisos en Microsoft Sentinel.
Auditoría con registros de actividad de Azure
Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure, donde la tabla AzureActivity incluye todas las acciones realizadas en el área de trabajo de Microsoft Sentinel.
Use la tabla AzureActivity al auditar la actividad en el entorno de SOC con Microsoft Sentinel.
Para consultar la tabla AzureActivity:
Instale la solución Azure Activity Solution for Sentinel y conecte el conector de datos de Azure Activity para iniciar la transmisión de eventos de auditoría a una nueva tabla denominada
AzureActivity
.Consulte los datos mediante el Lenguaje de consulta Kusto (KQL), tal como lo haría con cualquier otra tabla:
- En Azure Portal, consulte esta tabla en la página Registros.
- En la plataforma de operaciones de seguridad unificada de Microsoft, consulte esta tabla en la página Investigación y respuesta > Búsqueda >Búsqueda avanzada de amenazas.
En la tabla AzureActivity se incluyen datos de muchos servicios, incluido Microsoft Sentinel. Para filtrar solo los datos de Microsoft Sentinel, inicie la consulta con el código siguiente:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
Por ejemplo, para averiguar quién fue el último usuario en editar una regla de análisis determinada, use la consulta siguiente (reemplazando
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
por el identificador de la regla que desea comprobar):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Agregue más parámetros a la consulta para explorar más la tabla AzureActivities en función de lo que necesite informar. En las secciones siguientes se proporcionan otras consultas de ejemplo que se pueden usar al realizar la auditoría con datos de la tabla AzureActivity.
Para más información, consulte Datos de Microsoft Sentinel incluidos en los registros de actividad de Azure.
Búsqueda de todas las acciones realizadas por un usuario específico en las últimas 24 horas
La siguiente consulta de la tabla AzureActivity enumera todas las acciones realizadas por un usuario específico de Microsoft Entra en las últimas 24 horas.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Búsqueda de todas las operaciones de eliminación
La siguiente consulta de la tabla AzureActivity enumera todas las operaciones de eliminación realizadas en el área de trabajo de Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Datos de Microsoft Sentinel incluidos en los registros de actividad de Azure
Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure e incluyen los siguientes tipos de información:
Operación | Tipos de información |
---|---|
Creado | Las reglas de alertas Comentarios de casos Comentarios sobre el incidente Búsquedas guardadas Listas de reproducción Workbooks |
Eliminado | Las reglas de alertas Marcadores Conectores de datos Incidentes Búsquedas guardadas Configuración Informes de inteligencia sobre amenazas Listas de reproducción Workbooks Flujo de trabajo |
Updated | Las reglas de alertas Marcadores Casos Conectores de datos Incidentes Comentarios sobre el incidente Informes de inteligencia sobre amenazas Workbooks Flujo de trabajo |
También puede usar los registros de actividad de Azure para comprobar las autorizaciones y licencias de usuario. Por ejemplo, en la tabla siguiente se enumeran las operaciones seleccionadas que se encuentran en los registros de actividad de Azure con el recurso específico del que se extraen los datos de registro.
Nombre de la operación | Tipo de recurso |
---|---|
Crear o actualizar libro | Microsoft.Insights/workbooks |
Eliminar libro | Microsoft.Insights/workbooks |
Establecer flujo de trabajo | Microsoft.Logic/workflows |
Eliminar flujo de trabajo | Microsoft.Logic/workflows |
Crear búsqueda guardada | Microsoft.OperationalInsights/workspaces/savedSearches |
Eliminar búsqueda guardada | Microsoft.OperationalInsights/workspaces/savedSearches |
Actualizar reglas de alerta | Microsoft.SecurityInsights/alertRules |
Eliminar reglas de alerta | Microsoft.SecurityInsights/alertRules |
Actualizar acciones de respuesta de reglas de alerta | Microsoft.SecurityInsights/alertRules/actions |
Eliminar acciones de respuesta de reglas de alerta | Microsoft.SecurityInsights/alertRules/actions |
Actualizar marcadores | Microsoft.SecurityInsights/bookmarks |
Eliminar marcadores | Microsoft.SecurityInsights/bookmarks |
Actualizar casos | Microsoft.SecurityInsights/Cases |
Actualizar investigación de caso | Microsoft.SecurityInsights/Cases/investigations |
Crear comentarios de casos | Microsoft.SecurityInsights/Cases/comments |
Actualizar conectores de datos | Microsoft.SecurityInsights/dataConnectors |
Eliminar conectores de datos | Microsoft.SecurityInsights/dataConnectors |
Actualización de la configuración | Microsoft.SecurityInsights/settings |
Para más información, consulte Esquema de eventos del registro de actividad de Azure.
Auditoría con LAQueryLogs
En la tabla LAQueryLogs se proporcionan detalles sobre las consultas de registro que se ejecutan en log Analytics. Como Log Analytics se usa como almacén de datos subyacente de Microsoft Sentinel, puede configurar el sistema para recopilar datos de LAQueryLogs en el área de trabajo de Microsoft Sentinel.
Los datos de LAQueryLogs incluyen información como:
- Cuándo se ejecutaron las consultas
- Quién ejecutó las consultas en Log Analytics
- Qué herramienta se usó para ejecutar consultas en Log Analytics, como Microsoft Sentinel
- Los propios textos de las consultas
- Datos de rendimiento en cada ejecución de consulta
Nota
En la tabla LAQueryLogs solo se incluyen las consultas que se han ejecutado en la hoja Registros de Microsoft Sentinel. No se incluyen las consultas ejecutadas por las reglas de análisis programado, mediante el Gráfico de investigación, en la página Búsqueda de Microsoft Sentinel, o en la página Búsqueda avanzada de amenazas del portal de Defender.
Puede haber un breve retraso entre el momento en que se ejecuta una consulta y en el que se rellenan los datos en la tabla LAQueryLogs. Se recomienda esperar unos 5 minutos para consultar los datos de auditoría de la tabla LAQueryLogs.
Para consultar la tabla LAQueryLogs:
La tabla LAQueryLogs no está habilitada de manera predeterminada en el área de trabajo Log Analytics. Para usar los datos de LAQueryLogs al auditar en Microsoft Sentinel, primero habilite LAQueryLogs en el área Configuración de diagnóstico del área de trabajo de Log Analytics.
Para más información, vea Auditoría de las consultas en los registros de Azure Monitor.
A continuación, consulte los datos mediante KQL, tal como lo haría con cualquier otra tabla.
Por ejemplo, la consulta siguiente muestra el número de consultas que se ejecutaron en la última semana, cada día:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
En las secciones siguientes se muestran más consultas de ejemplo que se ejecutan en la tabla LAQueryLogs al auditar actividades en el entorno de SOC con Microsoft Sentinel.
El número de consultas ejecutadas en las que la respuesta no era "OK"
La siguiente consulta de la tabla LAQueryLogs muestra el número de consultas ejecutadas, donde la respuesta recibida no es la respuesta de HTTP 200 OK. Por ejemplo, este número incluye las consultas que no se han podido ejecutar.
LAQueryLogs
| where ResponseCode != 200
| count
Visualización de los usuarios de consultas con uso intensivo de CPU
La siguiente consulta de la tabla LAQueryLogs indica los usuarios que ejecutaron la mayoría de las consultas de uso intensivo de CPU, en función de la CPU usada y la duración del tiempo de la consulta.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Visualización de los usuarios que ejecutaron la mayoría de las consultas de la semana pasada
La siguiente consulta de la tabla LAQueryLogs muestra los usuarios que ejecutaron la mayoría de las consultas durante la semana pasada.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configuración de alertas para las actividades de Microsoft Sentinel
Puede que desee usar recursos de auditoría de Microsoft Sentinel para crear alertas proactivas.
Por ejemplo, si tiene tablas confidenciales en el área de trabajo de Microsoft Sentinel, use la siguiente consulta para que se le notifique cada vez que se consulten las tablas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Supervisión de Microsoft Sentinel con libros, reglas y cuadernos de estrategias
Use las propias características de Microsoft Sentinel para supervisar los eventos y las acciones que se producen en Microsoft Sentinel.
Supervise con libros. Varios libros integrados de Microsoft Sentinel pueden ayudarle a supervisar la actividad del área de trabajo, incluida la información sobre los usuarios que trabajan en el área de trabajo, las reglas de análisis que se usan, las tácticas de MITRE más cubiertas, ingestas paradas o detenidas, y el rendimiento del equipo de SOC.
Para obtener más información, consulte Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel y Libros de Microsoft Sentinel de uso frecuente
Observe el retraso de ingesta. Si le preocupa el retraso de ingesta, establezca una variable en una regla de análisis para representar el retraso.
Por ejemplo, la siguiente regla de análisis puede ayudar a garantizar que los resultados no incluyan duplicados y que los registros no se pierden al ejecutar las reglas:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
Para obtener más información, consulte Automatización del control de incidentes en Microsoft Sentinel con las reglas de automatización.
Supervise el estado del conector de datos mediante el cuaderno de la solución de notificaciones push del estado de los conectores para ver si la ingesta está parada o detenida, y envíe notificaciones cuando un conector haya dejado de recopilar datos o las máquinas hayan dejado de informar.
Paso siguiente
En Microsoft Sentinel, use el libro Workspace audit (Auditoría de área de trabajo) para auditar las actividades en el entorno de SOC. Para más información, consulte Visualización y supervisión de los datos.