Granska Microsoft Sentinel-frågor och aktiviteter
Den här artikeln beskriver hur du kan visa granskningsdata för frågor som körs och aktiviteter som utförs på din Microsoft Sentinel-arbetsyta, till exempel för interna och externa efterlevnadskrav på din SOC-arbetsyta (Security Operations).
Microsoft Sentinel ger åtkomst till:
Tabellen AzureActivity , som innehåller information om alla åtgärder som vidtas i Microsoft Sentinel, till exempel redigering av aviseringsregler. AzureActivity-tabellen loggar inte specifika frågedata. Mer information finns i Granskning med Azure-aktivitetsloggar.
LaQueryLogs-tabellen, som innehåller information om de frågor som körs i Log Analytics, inklusive frågor som körs från Microsoft Sentinel. Mer information finns i Granskning med LAQueryLogs.
Dricks
Förutom de manuella frågor som beskrivs i den här artikeln rekommenderar vi att du använder den inbyggda arbetsytans granskningsarbetsbok som hjälper dig att granska aktiviteterna i SOC-miljön. Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Förutsättningar
Innan du kan köra exempelfrågorna i den här artikeln måste du ha relevanta data på din Microsoft Sentinel-arbetsyta för att fråga efter och få åtkomst till Microsoft Sentinel.
Mer information finns i Konfigurera Microsoft Sentinel-innehåll och roller och behörigheter i Microsoft Sentinel.
Granskning med Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna, där AzureActivity-tabellen innehåller alla åtgärder som vidtas på din Microsoft Sentinel-arbetsyta.
Använd AzureActivity-tabellen när du granskar aktivitet i din SOC-miljö med Microsoft Sentinel.
Så här frågar du azureactivity-tabellen:
Installera Azure Activity-lösningen för Sentinel-lösningen och anslut Azure Activity-dataanslutningen för att starta strömmande granskningshändelser till en ny tabell med namnet
AzureActivity.Fråga efter data med hjälp av Kusto-frågespråk (KQL), precis som med andra tabeller:
- I Azure Portal frågar du den här tabellen på sidan Loggar.
- I Microsofts enhetliga plattform för säkerhetsåtgärder kör du frågor mot den här tabellen på sidan Undersökning och svar > Jakt >avancerad jakt .
AzureActivity-tabellen innehåller data från många tjänster, inklusive Microsoft Sentinel. Om du bara vill filtrera in data från Microsoft Sentinel startar du frågan med följande kod:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Om du till exempel vill ta reda på vem som senast redigerade en viss analysregel använder du följande fråga (ersätter
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxmed regel-ID:t för regeln som du vill kontrollera):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Lägg till fler parametrar i din fråga för att utforska Tabellen AzureActivities ytterligare, beroende på vad du behöver rapportera. Följande avsnitt innehåller andra exempelfrågor som ska användas vid granskning med AzureActivity-tabelldata .
Mer information finns i Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar.
Hitta alla åtgärder som vidtagits av en viss användare under de senaste 24 timmarna
Följande AzureActivity-tabellfråga visar alla åtgärder som vidtagits av en specifik Microsoft Entra-användare under de senaste 24 timmarna.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Hitta alla borttagningsåtgärder
Följande AzureActivity-tabellfråga visar en lista över alla borttagningsåtgärder som utförs på din Microsoft Sentinel-arbetsyta.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna och innehåller följande typer av information:
| Åtgärd | Informationstyper |
|---|---|
| Skapat | Aviseringsregler Ärendekommentar Incidentkommentar Sparade sökningar Visningslistor Arbetsböcker |
| Borttagen | Aviseringsregler Bokmärken Dataanslutningar Incidenter Sparade sökningar Inställningar Rapporter om hotinformation Visningslistor Arbetsböcker Arbetsflöde |
| Uppdaterat | Aviseringsregler Bokmärken Fall Dataanslutningar Incidenter Incidentkommentar Rapporter om hotinformation Arbetsböcker Arbetsflöde |
Du kan också använda Azure-aktivitetsloggarna för att söka efter användarauktoriseringar och licenser. I följande tabell visas till exempel valda åtgärder som finns i Azure-aktivitetsloggar med den specifika resurs som loggdata hämtas från.
| Operationsnamn | Resurstyp |
|---|---|
| Skapa eller uppdatera arbetsbok | Microsoft.Insights/arbetsböcker |
| Ta bort arbetsbok | Microsoft.Insights/arbetsböcker |
| Ange arbetsflöde | Microsoft.Logic/workflows |
| Ta bort arbetsflöde | Microsoft.Logic/workflows |
| Skapa sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Ta bort sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Uppdatera aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Ta bort aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Uppdatera svarsåtgärder för aviseringsregeln | Microsoft.SecurityInsights/alertRules/actions |
| Ta bort svarsåtgärder för aviseringsregel | Microsoft.SecurityInsights/alertRules/actions |
| Uppdatera bokmärken | Microsoft.SecurityInsights/bokmärken |
| Ta bort bokmärken | Microsoft.SecurityInsights/bokmärken |
| Uppdateringsfall | Microsoft.SecurityInsights/Cases |
| Undersökning av uppdateringsfall | Microsoft.SecurityInsights/Cases/investigations |
| Skapa ärendekommentar | Microsoft.SecurityInsights/Cases/comments |
| Uppdatera dataanslutningar | Microsoft.SecurityInsights/dataConnectors |
| Ta bort dataanslutningar | Microsoft.SecurityInsights/dataConnectors |
| Uppdatera inställningar | Microsoft.SecurityInsights/settings |
Mer information finns i Händelseschema för Azure-aktivitetslogg.
Granskning med LAQueryLogs
LaQueryLogs-tabellen innehåller information om loggfrågor som körs i Log Analytics. Eftersom Log Analytics används som Microsoft Sentinels underliggande datalager kan du konfigurera systemet för att samla in LAQueryLogs-data på din Microsoft Sentinel-arbetsyta.
LAQueryLogs-data innehåller information som:
- När frågor kördes
- Vem körde frågor i Log Analytics
- Vilket verktyg användes för att köra frågor i Log Analytics, till exempel Microsoft Sentinel
- Själva frågetexterna
- Prestandadata för varje frågekörning
Kommentar
LAQueryLogs-tabellen innehåller endast frågor som har körts på bladet Loggar i Microsoft Sentinel. Den innehåller inte de frågor som körs av schemalagda analysregler, med hjälp av undersökningsgrafen, på sidan Microsoft Sentinel-jakt eller på Sidan Avancerad jakt i Defender-portalen.
Det kan uppstå en kort fördröjning mellan den tid då en fråga körs och data fylls i i tabellen LAQueryLogs . Vi rekommenderar att du väntar ungefär 5 minuter för att fråga LAQueryLogs-tabellen om granskningsdata .
Så här frågar du laQueryLogs-tabellen:
LaQueryLogs-tabellen är inte aktiverad som standard på Log Analytics-arbetsytan. Om du vill använda LAQueryLogs-data vid granskning i Microsoft Sentinel aktiverar du först LAQueryLogs i log analytics-arbetsytans diagnostikinställningar.
Mer information finns i Granska frågor i Azure Monitor-loggar.
Kör sedan frågor mot data med hjälp av KQL, precis som med andra tabeller.
Följande fråga visar till exempel hur många frågor som kördes under den senaste veckan, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
I följande avsnitt visas fler exempelfrågor som ska köras i tabellen LAQueryLogs vid granskning av aktiviteter i SOC-miljön med Microsoft Sentinel.
Antalet frågor som körs där svaret inte var "OK"
Följande LAQueryLogs-tabellfråga visar antalet frågor som körs, där allt annat än ett HTTP-svar på 200 OK togs emot. Det här numret innehåller till exempel frågor som inte kunde köras.
LAQueryLogs
| where ResponseCode != 200
| count
Visa användare för CPU-intensiva frågor
Följande LAQueryLogs-tabellfråga visar de användare som körde de mest CPU-intensiva frågorna, baserat på processoranvändning och längden på frågetiden.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Visa användare som kört flest frågor den senaste veckan
Följande LAQueryLogs-tabellfråga visar de användare som körde flest frågor under den senaste veckan.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurera aviseringar för Microsoft Sentinel-aktiviteter
Du kanske vill använda Microsoft Sentinel-granskningsresurser för att skapa proaktiva aviseringar.
Om du till exempel har känsliga tabeller på din Microsoft Sentinel-arbetsyta använder du följande fråga för att meddela dig varje gång tabellerna efterfrågas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Övervaka Microsoft Sentinel med arbetsböcker, regler och spelböcker
Använd Microsoft Sentinels egna funktioner för att övervaka händelser och åtgärder som inträffar i Microsoft Sentinel.
Övervaka med arbetsböcker. Flera inbyggda Microsoft Sentinel-arbetsböcker kan hjälpa dig att övervaka arbetsyteaktivitet, inklusive information om de användare som arbetar på din arbetsyta, de analysregler som används, MITRE-taktiken som omfattas mest, stoppade eller stoppade inmatningar och SOC-teamets prestanda.
Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel och Vanliga Microsoft Sentinel-arbetsböcker
Håll utkik efter inmatningsfördröjning. Om du har problem med inmatningsfördröjning anger du en variabel i en analysregel som representerar fördröjningen.
Följande analysregel kan till exempel bidra till att säkerställa att resultaten inte innehåller dubbletter och att loggarna inte missas när du kör reglerna:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductMer information finns i Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler.
Övervaka hälsotillståndet för dataanslutningsappen med hjälp av spelboken För push-meddelandelösning för anslutningsprogram för att hålla utkik efter stoppad eller stoppad inmatning och skicka meddelanden när en anslutningsapp har slutat samla in data eller datorer har slutat rapportera.
Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:
- let-instruktion
- där operatorn
- projektoperator
- count-operator
- sorteringsoperator
- utöka operatorn
- kopplingsoperator
- summarize-operator
- ago() -funktion
- funktionen ingestion_time()
- sammansättningsfunktionen count()
- aggregeringsfunktionen arg_max()
Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).
Andra resurser:
Gå vidare
I Microsoft Sentinel använder du arbetsytans granskningsarbetsbok för att granska aktiviteterna i din SOC-miljö. Mer information finns i Visualisera och övervaka dina data.