Compartir vía


Auditoría de consultas y actividades de Microsoft Sentinel

En este artículo se describe cómo puede ver los datos de auditoría para las consultas ejecutadas y las actividades realizadas en el área de trabajo de Microsoft Sentinel, como los requisitos de cumplimiento internos y externos en el área de trabajo de las operaciones de seguridad (SOC).

Microsoft Sentinel proporciona acceso a:

  • La tabla AzureActivity, en la que se proporcionan detalles sobre todas las acciones realizadas en Microsoft Sentinel, como la edición de reglas de alertas. En la tabla AzureActivity no se registran datos específicos de la consulta. Para más información, consulte Auditoría con registros de actividad de Azure.

  • La tabla LAQueryLogs, en la que se proporcionan detalles sobre las consultas que se ejecutan en log Analytics, incluidas las consultas que se ejecutan desde Microsoft Sentinel. Para más información, consulte Auditoría con LAQueryLogs.

Sugerencia

Además de las consultas manuales que se describen en este artículo, le recomendamos que use el libro Auditoría de áreas de trabajo integrado para ayudarle a auditar las actividades en el entorno de SOC. Para más información, consulte Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel.

Requisitos previos

Auditoría con registros de actividad de Azure

Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure, donde la tabla AzureActivity incluye todas las acciones realizadas en el área de trabajo de Microsoft Sentinel.

Use la tabla AzureActivity al auditar la actividad en el entorno de SOC con Microsoft Sentinel.

Para consultar la tabla AzureActivity:

  1. Instale la solución Azure Activity Solution for Sentinel y conecte el conector de datos de Azure Activity para iniciar la transmisión de eventos de auditoría a una nueva tabla denominada AzureActivity.

  2. Consulte los datos mediante el Lenguaje de consulta Kusto (KQL), tal como lo haría con cualquier otra tabla:

    • En Azure Portal, consulte esta tabla en la página Registros.
    • En la plataforma de operaciones de seguridad unificada de Microsoft, consulte esta tabla en la página Investigación y respuesta > Búsqueda >Búsqueda avanzada de amenazas.

    En la tabla AzureActivity se incluyen datos de muchos servicios, incluido Microsoft Sentinel. Para filtrar solo los datos de Microsoft Sentinel, inicie la consulta con el código siguiente:

     AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
    

    Por ejemplo, para averiguar quién fue el último usuario en editar una regla de análisis determinada, use la consulta siguiente (reemplazando xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx por el identificador de la regla que desea comprobar):

    AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
    | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    | project Caller , TimeGenerated , Properties
    

Agregue más parámetros a la consulta para explorar más la tabla AzureActivities en función de lo que necesite informar. En las secciones siguientes se proporcionan otras consultas de ejemplo que se pueden usar al realizar la auditoría con datos de la tabla AzureActivity.

Para más información, consulte Datos de Microsoft Sentinel incluidos en los registros de actividad de Azure.

Búsqueda de todas las acciones realizadas por un usuario específico en las últimas 24 horas

La siguiente consulta de la tabla AzureActivity enumera todas las acciones realizadas por un usuario específico de Microsoft Entra en las últimas 24 horas.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Búsqueda de todas las operaciones de eliminación

La siguiente consulta de la tabla AzureActivity enumera todas las operaciones de eliminación realizadas en el área de trabajo de Microsoft Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

Datos de Microsoft Sentinel incluidos en los registros de actividad de Azure

Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure e incluyen los siguientes tipos de información:

Operación Tipos de información
Creado Las reglas de alertas
Comentarios de casos
Comentarios sobre el incidente
Búsquedas guardadas
Listas de reproducción
Workbooks
Eliminado Las reglas de alertas
Marcadores
Conectores de datos
Incidentes
Búsquedas guardadas
Configuración
Informes de inteligencia sobre amenazas
Listas de reproducción
Workbooks
Flujo de trabajo
Updated Las reglas de alertas
Marcadores
Casos
Conectores de datos
Incidentes
Comentarios sobre el incidente
Informes de inteligencia sobre amenazas
Workbooks
Flujo de trabajo

También puede usar los registros de actividad de Azure para comprobar las autorizaciones y licencias de usuario. Por ejemplo, en la tabla siguiente se enumeran las operaciones seleccionadas que se encuentran en los registros de actividad de Azure con el recurso específico del que se extraen los datos de registro.

Nombre de la operación Tipo de recurso
Crear o actualizar libro Microsoft.Insights/workbooks
Eliminar libro Microsoft.Insights/workbooks
Establecer flujo de trabajo Microsoft.Logic/workflows
Eliminar flujo de trabajo Microsoft.Logic/workflows
Crear búsqueda guardada Microsoft.OperationalInsights/workspaces/savedSearches
Eliminar búsqueda guardada Microsoft.OperationalInsights/workspaces/savedSearches
Actualizar reglas de alerta Microsoft.SecurityInsights/alertRules
Eliminar reglas de alerta Microsoft.SecurityInsights/alertRules
Actualizar acciones de respuesta de reglas de alerta Microsoft.SecurityInsights/alertRules/actions
Eliminar acciones de respuesta de reglas de alerta Microsoft.SecurityInsights/alertRules/actions
Actualizar marcadores Microsoft.SecurityInsights/bookmarks
Eliminar marcadores Microsoft.SecurityInsights/bookmarks
Actualizar casos Microsoft.SecurityInsights/Cases
Actualizar investigación de caso Microsoft.SecurityInsights/Cases/investigations
Crear comentarios de casos Microsoft.SecurityInsights/Cases/comments
Actualizar conectores de datos Microsoft.SecurityInsights/dataConnectors
Eliminar conectores de datos Microsoft.SecurityInsights/dataConnectors
Actualización de la configuración Microsoft.SecurityInsights/settings

Para más información, consulte Esquema de eventos del registro de actividad de Azure.

Auditoría con LAQueryLogs

En la tabla LAQueryLogs se proporcionan detalles sobre las consultas de registro que se ejecutan en log Analytics. Como Log Analytics se usa como almacén de datos subyacente de Microsoft Sentinel, puede configurar el sistema para recopilar datos de LAQueryLogs en el área de trabajo de Microsoft Sentinel.

Los datos de LAQueryLogs incluyen información como:

  • Cuándo se ejecutaron las consultas
  • Quién ejecutó las consultas en Log Analytics
  • Qué herramienta se usó para ejecutar consultas en Log Analytics, como Microsoft Sentinel
  • Los propios textos de las consultas
  • Datos de rendimiento en cada ejecución de consulta

Nota

  • En la tabla LAQueryLogs solo se incluyen las consultas que se han ejecutado en la hoja Registros de Microsoft Sentinel. No se incluyen las consultas ejecutadas por las reglas de análisis programado, mediante el Gráfico de investigación, en la página Búsqueda de Microsoft Sentinel, o en la página Búsqueda avanzada de amenazas del portal de Defender.

  • Puede haber un breve retraso entre el momento en que se ejecuta una consulta y en el que se rellenan los datos en la tabla LAQueryLogs. Se recomienda esperar unos 5 minutos para consultar los datos de auditoría de la tabla LAQueryLogs.

Para consultar la tabla LAQueryLogs:

  1. La tabla LAQueryLogs no está habilitada de manera predeterminada en el área de trabajo Log Analytics. Para usar los datos de LAQueryLogs al auditar en Microsoft Sentinel, primero habilite LAQueryLogs en el área Configuración de diagnóstico del área de trabajo de Log Analytics.

    Para más información, vea Auditoría de las consultas en los registros de Azure Monitor.

  2. A continuación, consulte los datos mediante KQL, tal como lo haría con cualquier otra tabla.

    Por ejemplo, la consulta siguiente muestra el número de consultas que se ejecutaron en la última semana, cada día:

    LAQueryLogs
    | where TimeGenerated > ago(7d)
    | summarize events_count=count() by bin(TimeGenerated, 1d)
    

En las secciones siguientes se muestran más consultas de ejemplo que se ejecutan en la tabla LAQueryLogs al auditar actividades en el entorno de SOC con Microsoft Sentinel.

El número de consultas ejecutadas en las que la respuesta no era "OK"

La siguiente consulta de la tabla LAQueryLogs muestra el número de consultas ejecutadas, donde la respuesta recibida no es la respuesta de HTTP 200 OK. Por ejemplo, este número incluye las consultas que no se han podido ejecutar.

LAQueryLogs
| where ResponseCode != 200 
| count 

Visualización de los usuarios de consultas con uso intensivo de CPU

La siguiente consulta de la tabla LAQueryLogs indica los usuarios que ejecutaron la mayoría de las consultas de uso intensivo de CPU, en función de la CPU usada y la duración del tiempo de la consulta.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

Visualización de los usuarios que ejecutaron la mayoría de las consultas de la semana pasada

La siguiente consulta de la tabla LAQueryLogs muestra los usuarios que ejecutaron la mayoría de las consultas durante la semana pasada.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Configuración de alertas para las actividades de Microsoft Sentinel

Puede que desee usar recursos de auditoría de Microsoft Sentinel para crear alertas proactivas.

Por ejemplo, si tiene tablas confidenciales en el área de trabajo de Microsoft Sentinel, use la siguiente consulta para que se le notifique cada vez que se consulten las tablas:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Supervisión de Microsoft Sentinel con libros, reglas y cuadernos de estrategias

Use las propias características de Microsoft Sentinel para supervisar los eventos y las acciones que se producen en Microsoft Sentinel.

Paso siguiente

En Microsoft Sentinel, use el libro Workspace audit (Auditoría de área de trabajo) para auditar las actividades en el entorno de SOC. Para más información, consulte Visualización y supervisión de los datos.