Microsoft Sentinel-query's en -activiteiten controleren
In dit artikel wordt beschreven hoe u controlegegevens kunt bekijken voor query's die worden uitgevoerd en activiteiten die worden uitgevoerd in uw Microsoft Sentinel-werkruimte, zoals voor interne en externe nalevingsvereisten in uw SOC-werkruimte (Security Operations).
Microsoft Sentinel biedt toegang tot:
De tabel AzureActivity , die details bevat over alle acties die in Microsoft Sentinel worden uitgevoerd, zoals het bewerken van waarschuwingsregels. In de AzureActivity-tabel worden geen specifieke querygegevens vastgelegd. Zie Controle met Azure-activiteitenlogboeken voor meer informatie.
De laQueryLogs-tabel , die details bevat over de query's die worden uitgevoerd in Log Analytics, inclusief query's die worden uitgevoerd vanuit Microsoft Sentinel. Zie Controle met LAQueryLogs voor meer informatie.
Tip
Naast de handmatige query's die in dit artikel worden beschreven, raden we u aan de ingebouwde werkmap voor werkruimtecontrole te gebruiken om de activiteiten in uw SOC-omgeving te controleren. Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel voor meer informatie.
Vereisten
Voordat u de voorbeeldquery's in dit artikel kunt uitvoeren, moet u relevante gegevens in uw Microsoft Sentinel-werkruimte hebben om query's uit te voeren op En toegang te krijgen tot Microsoft Sentinel.
Zie Microsoft Sentinel-inhoud en -rollen en -machtigingen configureren in Microsoft Sentinel voor meer informatie.
Controle met Azure-activiteitenlogboeken
De auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken, waarbij de tabel AzureActivity alle acties bevat die zijn uitgevoerd in uw Microsoft Sentinel-werkruimte.
Gebruik de tabel AzureActivity bij het controleren van activiteiten in uw SOC-omgeving met Microsoft Sentinel.
Ga als volgende te werk om een query uit te voeren op de AzureActivity-tabel:
Installeer de Azure Activity-oplossing voor de Sentinel-oplossing en verbind de Azure Activity-gegevensconnector om controlegebeurtenissen te streamen naar een nieuwe tabel met de naam
AzureActivity.Voer een query uit op de gegevens met behulp van Kusto-querytaal (KQL), net zoals in elke andere tabel:
- Voer in Azure Portal een query uit op deze tabel op de pagina Logboeken .
- Voer in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft een query uit op deze tabel op de pagina Opsporing >>geavanceerde opsporing van geavanceerde opsporing.
De tabel AzureActivity bevat gegevens uit veel services, waaronder Microsoft Sentinel. Als u alleen gegevens uit Microsoft Sentinel wilt filteren, start u uw query met de volgende code:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Als u bijvoorbeeld wilt weten wie de laatste gebruiker was om een bepaalde analyseregel te bewerken, gebruikt u de volgende query (vervangen door
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxde regel-id van de regel die u wilt controleren):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Voeg meer parameters toe aan uw query om de tabel AzureActivities verder te verkennen, afhankelijk van wat u moet rapporteren. De volgende secties bevatten andere voorbeeldquery's die moeten worden gebruikt bij het controleren met AzureActivity-tabelgegevens .
Zie Microsoft Sentinel-gegevens die zijn opgenomen in Azure-activiteitenlogboeken voor meer informatie.
Alle acties zoeken die door een specifieke gebruiker in de afgelopen 24 uur zijn uitgevoerd
De volgende AzureActivity-tabelquery bevat alle acties die in de afgelopen 24 uur zijn uitgevoerd door een specifieke Microsoft Entra-gebruiker.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Alle verwijderbewerkingen zoeken
De volgende AzureActivity-tabelquery bevat alle verwijderbewerkingen die zijn uitgevoerd in uw Microsoft Sentinel-werkruimte.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel-gegevens die zijn opgenomen in Azure-activiteitenlogboeken
De auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken en bevatten de volgende typen informatie:
| Operation | Informatietypen |
|---|---|
| Gemaakt | Waarschuwingsregels Caseopmerkingen Opmerkingen bij incidenten Opgeslagen zoekacties Volglijsten Werkmappen |
| Verwijderd | Waarschuwingsregels Bladwijzers Gegevensconnectors Incidenten Opgeslagen zoekopdrachten Instellingen Bedreigingsinformatierapporten Volglijsten Werkmappen Workflow |
| Bijgewerkt | Waarschuwingsregels Bladwijzers Gevallen Gegevensconnectors Incidenten Opmerkingen bij incidenten Bedreigingsinformatierapporten Werkmappen Workflow |
U kunt ook de Azure-activiteitenlogboeken gebruiken om te controleren op gebruikersautorisaties en licenties. De volgende tabel bevat bijvoorbeeld geselecteerde bewerkingen in Azure-activiteitenlogboeken met de specifieke resource waaruit de logboekgegevens worden opgehaald.
| Bewerkingsnaam | Brontype |
|---|---|
| Werkmap maken of bijwerken | Microsoft.Insights/werkmappen |
| Werkmap verwijderen | Microsoft.Insights/werkmappen |
| Werkstroom instellen | Microsoft.Logic/workflows |
| Werkstroom verwijderen | Microsoft.Logic/workflows |
| Opgeslagen zoekopdracht maken | Microsoft.OperationalInsights/workspaces/savedSearches |
| Opgeslagen zoekopdracht verwijderen | Microsoft.OperationalInsights/workspaces/savedSearches |
| Waarschuwingsregels bijwerken | Microsoft.SecurityInsights/alertRules |
| Waarschuwingsregels verwijderen | Microsoft.SecurityInsights/alertRules |
| Reactieacties voor waarschuwingsregels bijwerken | Microsoft.SecurityInsights/alertRules/actions |
| Reactieacties voor waarschuwingsregels verwijderen | Microsoft.SecurityInsights/alertRules/actions |
| Bladwijzers bijwerken | Microsoft.SecurityInsights/bladwijzers |
| Bladwijzers verwijderen | Microsoft.SecurityInsights/bladwijzers |
| Cases bijwerken | Microsoft.SecurityInsights/Cases |
| Aanvraagonderzoek bijwerken | Microsoft.SecurityInsights/Cases/investigations |
| Caseopmerkingen maken | Microsoft.SecurityInsights/Cases/comments |
| Gegevensconnectors bijwerken | Microsoft.SecurityInsights/dataConnectors |
| Gegevensconnectors verwijderen | Microsoft.SecurityInsights/dataConnectors |
| Instellingen bijwerken | Microsoft.SecurityInsights/settings |
Zie het gebeurtenisschema van het Azure-activiteitenlogboek voor meer informatie.
Controle met LAQueryLogs
De tabel LAQueryLogs bevat details over logboekquery's die worden uitgevoerd in Log Analytics. Omdat Log Analytics wordt gebruikt als het onderliggende gegevensarchief van Microsoft Sentinel, kunt u uw systeem configureren voor het verzamelen van LAQueryLogs-gegevens in uw Microsoft Sentinel-werkruimte.
LAQueryLogs-gegevens bevatten informatie zoals:
- Wanneer query's werden uitgevoerd
- Wie heeft query's uitgevoerd in Log Analytics
- Welk hulpprogramma is gebruikt om query's uit te voeren in Log Analytics, zoals Microsoft Sentinel
- De queryteksten zelf
- Prestatiegegevens voor elke queryuitvoering
Notitie
De tabel LAQueryLogs bevat alleen query's die zijn uitgevoerd op de blade Logboeken van Microsoft Sentinel. Het omvat niet de query's die worden uitgevoerd op basis van geplande analyseregels, met behulp van de Onderzoeksgrafiek, op de pagina Opsporing van Microsoft Sentinel of op de pagina Geavanceerde opsporing van de Defender-portal.
Er kan een korte vertraging optreden tussen het moment dat een query wordt uitgevoerd en de gegevens worden ingevuld in de tabel LAQueryLogs . We raden u aan ongeveer 5 minuten te wachten om een query uit te voeren op de LAQueryLogs-tabel voor controlegegevens.
Ga als volgende te werk om een query uit te voeren op de laQueryLogs-tabel:
De LAQueryLogs-tabel is niet standaard ingeschakeld in uw Log Analytics-werkruimte. Als u LAQueryLogs-gegevens wilt gebruiken bij het controleren in Microsoft Sentinel, moet u eerst de LAQueryLogs inschakelen in het gebied diagnostische instellingen van uw Log Analytics-werkruimte.
Zie Auditquery's in Azure Monitor-logboeken voor meer informatie.
Voer vervolgens een query uit op de gegevens met behulp van KQL, net zoals in elke andere tabel.
In de volgende query ziet u bijvoorbeeld hoeveel query's in de afgelopen week zijn uitgevoerd, op basis van een dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
In de volgende secties ziet u meer voorbeeldquery's die moeten worden uitgevoerd in de laQueryLogs-tabel bij het controleren van activiteiten in uw SOC-omgeving met behulp van Microsoft Sentinel.
Het aantal query's dat wordt uitgevoerd waarbij het antwoord niet 'OK' was
In de volgende LAQueryLogs-tabelquery ziet u het aantal uitgevoerde query's, waarbij iets anders dan een HTTP-antwoord van 200 OK is ontvangen. Dit nummer bevat bijvoorbeeld query's die niet konden worden uitgevoerd.
LAQueryLogs
| where ResponseCode != 200
| count
Gebruikers weergeven voor CPU-intensieve query's
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meest CPU-intensieve query's hebben uitgevoerd, op basis van de gebruikte CPU en de duur van de querytijd.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Gebruikers weergeven die de meeste query's in de afgelopen week hebben uitgevoerd
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meeste query's in de afgelopen week hebben uitgevoerd.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Waarschuwingen configureren voor Microsoft Sentinel-activiteiten
U kunt microsoft Sentinel-controleresources gebruiken om proactieve waarschuwingen te maken.
Als u bijvoorbeeld gevoelige tabellen in uw Microsoft Sentinel-werkruimte hebt, gebruikt u de volgende query om u elke keer dat deze tabellen worden opgevraagd op de hoogte te stellen:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Microsoft Sentinel bewaken met werkmappen, regels en playbooks
Gebruik de eigen functies van Microsoft Sentinel om gebeurtenissen en acties in Microsoft Sentinel te bewaken.
Bewaken met werkmappen. Verschillende ingebouwde Microsoft Sentinel-werkmappen kunnen u helpen bij het bewaken van de activiteit van de werkruimte, waaronder informatie over de gebruikers die in uw werkruimte werken, de analyseregels die worden gebruikt, de MITRE-tactieken die het meest worden gedekt, vastgelopen of gestopt, en de prestaties van het SOC-team.
Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel en veelgebruikte Microsoft Sentinel-werkmappen voor meer informatie
Let op opnamevertraging. Als u zich zorgen maakt over opnamevertraging, stelt u een variabele in een analyseregel in om de vertraging weer te geven.
De volgende analyseregel kan bijvoorbeeld helpen ervoor te zorgen dat de resultaten geen duplicaten bevatten en dat logboeken niet worden gemist bij het uitvoeren van de regels:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductZie De verwerking van incidenten automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie.
Bewaak de status van de gegevensconnector met behulp van het playbook Connector Health Push Notification Solution om te kijken naar vastgelopen of gestopte opname, en verzend meldingen wanneer een connector het verzamelen van gegevens of computers heeft gestopt.
Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:
- let-instructie
- where-operator
- projectoperator
- operator aantal
- sorteeroperator
- operator uitbreiden
- join-operator
- operator samenvatten
- ago() functie
- ingestion_time() functie
- aggregatiefunctie count()
- arg_max() aggregatiefunctie
Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Volgende stap
Gebruik in Microsoft Sentinel de werkmap Werkruimtecontrole om de activiteiten in uw SOC-omgeving te controleren. Zie Uw gegevens visualiseren en bewaken voor meer informatie.