Поделиться через

Аудит запросов и действий Microsoft Sentinel

  • Статья

В этой статье описано, как просматривать данные аудита для запросов и действий, выполняемых в рабочей области Microsoft Sentinel, например для обеспечения соответствия внутренним и внешним нормативным требованиям в рабочей области центра информационной безопасности.

Microsoft Sentinel предоставляет доступ к следующим таблицам:

  • AzureActivity, в которой содержатся сведения обо всех действиях в Microsoft Sentinel, таких как изменение правил генерации оповещений. Таблица AzureActivity не регистрирует определенные данные запроса. Дополнительные сведения см. в разделе Аудит с помощью журналов действий Azure.

  • LAQueryLogs, в которой содержатся сведения о запросах, выполняемых в Log Analytics, в том числе о запросах из Microsoft Sentinel. Дополнительные сведения см. в разделе Аудит с помощью LAQueryLogs.

Совет

Помимо запросов вручную, описанных в этой статье, рекомендуется использовать встроенную книгу аудита рабочей области, которая поможет вам выполнить аудит действий в среде SOC. Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.

Необходимые компоненты

  • Прежде чем успешно запустить примеры запросов в этой статье, необходимо иметь соответствующие данные в рабочей области Microsoft Sentinel для запроса к Microsoft Sentinel и доступа к Microsoft Sentinel.

    Дополнительные сведения см. в разделе "Настройка содержимого и ролей и разрешений Microsoft Sentinel" в Microsoft Sentinel.

Аудит с помощью журналов действий Azure

Журналы аудита Microsoft Sentinel хранятся в разделе Журналы действий Azure, а в таблицу AzureActivity заносятся все действия, выполненные в рабочей области Microsoft Sentinel.

Используйте таблицу AzureActivity при аудите действий в среде SOC с помощью Microsoft Sentinel.

Чтобы отправить запрос к таблице AzureActivity, выполните следующие действия.

  1. Установите решение действий Azure для решения Sentinel и подключите соединитель данных действий Azure для запуска событий аудита потоковой передачи в новую таблицу с именем AzureActivity.

  2. Запросите данные с помощью язык запросов Kusto (KQL), как и любая другая таблица:

    Таблица AzureActivity содержит данные из многих служб, включая Microsoft Sentinel. Чтобы отфильтровать только данные из Microsoft Sentinel, добавьте в начало запроса следующий код:

     AzureActivity
| where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"

    Например, чтобы узнать, какой пользователь внес последнее изменение в определенное правило аналитики, используйте следующий запрос (замените xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx идентификатором правила, которое требуется проверить):

    AzureActivity
| where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
| where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
| project Caller , TimeGenerated , Properties

Добавьте в запрос дополнительные параметры для дальнейшего изучения таблицы AzureActivities в зависимости от того, какие сведения требуется добавить в отчет. В следующих разделах представлены другие примеры запросов, которые можно использовать при выполнении аудита с помощью данных таблицы AzureActivity.

Дополнительные сведения см. в разделе Данные Microsoft Sentinel, включаемые в журналы действий Azure.

Поиск всех действий, выполненных конкретным пользователем за последние 24 часа

В следующем запросе таблицы AzureActivity перечислены все действия, выполняемые определенным пользователем Microsoft Entra за последние 24 часа.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Поиск всех операций удаления

Следующий запрос к таблице AzureActivity выводит список всех операций удаления, выполненных в рабочей области Microsoft Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

Данные Microsoft Sentinel, включаемые в журналы действий Azure

Журналы аудита Microsoft Sentinel хранятся в разделе Журналы действий Azure и содержат следующие типы информации:

Операция Типы информации
Создано Правила генерации оповещен
Комментарии к регистру
Комментарии к инциденту
Сохраненные поисковые запросы
Списки наблюдения
Workbooks
Удалено Правила генерации оповещен
Закладки
Соединители данных
Инцидентов
Сохраненные поиски
Параметры
Отчеты об аналитике угроз
Списки наблюдения
Книг
Рабочий процесс
Обновлено Правила оповещения
Закладки
Случаях
Соединители данных
Инцидентов
Комментарии к инциденту
Отчеты об аналитике угроз
Книг
Рабочий процесс

Вы также можете использовать журналы действий Azure для проверки прав и лицензий пользователей. Например, в следующей таблице перечислены некоторые операции из журналов действий Azure с конкретным ресурсом, из которого извлекаются данные журнала.

Наименование операции Тип ресурса
Создание или изменение книги Microsoft.Insights/workbooks
Удаление книги Microsoft.Insights/workbooks
Задание рабочего процесса Microsoft.Logic/workflows
Удаление рабочего процесса Microsoft.Logic/workflows
Создание сохраненного поискового запроса Microsoft.OperationalInsights/workspaces/savedSearches
Удаление сохраненного поискового запроса Microsoft.OperationalInsights/workspaces/savedSearches
Обновление правил генерации оповещений Microsoft.SecurityInsights/alertRules
Удаление правил генерации оповещений Microsoft.SecurityInsights/alertRules
Обновление ответных действий для правила генерации оповещений Microsoft.SecurityInsights/alertRules/actions
Удаление ответных действий для правила генерации оповещений Microsoft.SecurityInsights/alertRules/actions
Обновление закладок Microsoft.SecurityInsights/bookmarks
Удаление закладок Microsoft.SecurityInsights/bookmarks
Обновление обращений Microsoft.SecurityInsights/Cases
Обновление анализа обращения Microsoft.SecurityInsights/Cases/investigations
Создание комментариев к обращению Microsoft.SecurityInsights/Cases/comments
Обновление соединителей данных Microsoft.SecurityInsights/dataConnectors
Удаление соединителей данных Microsoft.SecurityInsights/dataConnectors
Обновление параметров Microsoft.SecurityInsights/settings

Дополнительные сведения см. в разделе Схема событий журналов действий Azure.

Аудит с помощью LAQueryLogs

Таблица LAQueryLogs содержит сведения о запросах журнала, выполняемых в Log Analytics. Так как Log Analytics используется в качестве базового хранилища данных Microsoft Sentinel, вы можете настроить систему для сбора данных LAQueryLogs в рабочей области Microsoft Sentinel.

Данные LAQueryLogs включают следующие сведения:

  • время выполнения запросов;
  • пользователей, выполнивших запросы в службе анализа журналов;
  • средство, использованное для выполнения запросов в службе Log Analytics, например Microsoft Sentinel;
  • текст самих запросов;
  • данные о производительности для каждого выполнения запроса.

Примечание.

  • Таблица LAQueryLogs содержит только те запросы, которые были выполнены в колонке "Журналы" Microsoft Sentinel. Он не включает запросы, выполняемые правилами запланированной аналитики, с помощью графа исследования, на странице "Охота Microsoft Sentinel" или на странице расширенной охоты на портале Defender.

  • Может возникнуть небольшая задержка между временем выполнения запроса и записью данных в таблицу LAQueryLogs. Рекомендуется подождать около 5 минут, прежде чем запрашивать у таблицы LAQueryLogs данные аудита.

Чтобы отправить запрос к таблице LAQueryLogs, выполните следующие действия.

  1. Таблица LAQueryLogs по умолчанию не включена в рабочей области Log Analytics. Чтобы использовать данные LAQueryLogs при аудите в Microsoft Sentinel, сначала включите LAQueryLogs в разделе Параметры диагностики рабочей области Log Analytics.

    Дополнительные сведения см. в разделе Аудит запросов в журналах Azure Monitor.

  2. Затем запросите данные с помощью KQL, как и у любой другой таблицы.

    Например, следующий запрос показывает количество запросов, выполненных за каждый день в течение последней недели:

    LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by bin(TimeGenerated, 1d)

В следующих разделах приведены дополнительные примеры запросов к таблице LAQueryLogs при аудите действий в среде SOC с помощью Microsoft Sentinel.

Количество выполненных запросов, для которых не был получен ответ «OK»

Следующий запрос к таблице LAQueryLogs показывает количество выполненных запросов, на которые был получен ответ, отличный от HTTP-ответа 200 ОК. Например, это число включает запросы, которые не удалось выполнить.

LAQueryLogs
| where ResponseCode != 200 
| count

Отображение пользователей, выполнивших запросы с интенсивным использованием ЦП

Следующий запрос к таблице LAQueryLogs выводит список пользователей, которые выполнили запросы, потребовавшие наиболее интенсивного использования ЦП, в зависимости от использования ЦП и длительности выполнения запроса.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

Отображение пользователей, выполнивших наибольшее количество запросов за последнюю неделю

Следующий запрос к таблице LAQueryLogs выводит список пользователей, выполнивших наибольшее количество запросов за последнюю неделю.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Настройка оповещений для действий Microsoft Sentinel

Может потребоваться использовать ресурсы аудита Microsoft Sentinel для создания упреждающих оповещений.

Например, если в рабочей области Microsoft Sentinel имеются конфиденциальные таблицы, используйте следующий запрос, чтобы получать уведомление при каждом запросе к этим таблицам:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Мониторинг Microsoft Sentinel с помощью книг, правил и сборников схем

Используйте собственные возможности службы Microsoft Sentinel, чтобы отслеживать происходящие в ней события и действия.

  • Мониторинг с помощью книг. Некоторые встроенные книги Microsoft Sentinel помогают отслеживать действия рабочей области, включая сведения о пользователях, работающих в рабочей области, используемых правилах аналитики, тактике MITRE, наиболее охватываемой, остановленной или остановленной приеме и производительности команды SOC.

    Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel и часто используемых книг Microsoft Sentinel

  • Следите за задержкой приема данных. Если у вас есть опасения по поводу задержки приема данных, задайте переменную в правиле аналитики, чтобы смоделировать задержку.

    Например, следующее правило аналитики может помочь убедиться в том, что результаты не содержат дубликатов, и что эти журналы не пропускаются при выполнении правил:

    let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
- Calculating ingestion delay
  CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct

    Для получения дополнительных сведений см. статью Автоматизация обработки инцидентов в Microsoft Sentinel с помощью правил автоматизации.

  • Мониторинг работоспособности соединителя данных с помощью сборника схем Решение push-уведомлений о работоспособности соединителя для отслеживания приостановленных или остановленных приемов данных и отправки уведомлений, когда соединитель остановил сбор данных или на компьютерах остановлена отчетность.

Следующий шаг

В Microsoft Sentinel используйте книгу Аудит рабочей области для аудита действий в среде SOC. Дополнительные сведения см. в статье о визуализации и мониторинге данных.