Controllare query e attività di Microsoft Sentinel
Questo articolo descrive come visualizzare i dati di controllo per le query eseguite e le attività eseguite nell'area di lavoro di Microsoft Sentinel, ad esempio per i requisiti di conformità interni ed esterni nell'area di lavoro Operazioni di sicurezza (SOC).
Microsoft Sentinel fornisce l'accesso a:
La tabella AzureActivity, che fornisce informazioni dettagliate su tutte le azioni eseguite in Microsoft Sentinel, ad esempio la modifica delle regole di avviso. La tabella AzureActivity non registra dati di query specifici. Per altre informazioni, vedere Controllo con i log attività di Azure.
La tabella LAQueryLogs, che fornisce informazioni dettagliate sulle query eseguite in Log Analytics, incluse le query eseguite da Microsoft Sentinel. Per altre informazioni, vedere Controllo con LAQueryLogs.
Suggerimento
Oltre alle query manuali descritte in questo articolo, è consigliabile usare la cartella di lavoro di controllo predefinita dell'area di lavoro per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.
Prerequisiti
Prima di poter eseguire correttamente le query di esempio in questo articolo, è necessario disporre di dati pertinenti nell'area di lavoro di Microsoft Sentinel per eseguire query su e accedere a Microsoft Sentinel.
Per altre informazioni, vedere Configurare il contenuto e i ruoli e le autorizzazioni di Microsoft Sentinel in Microsoft Sentinel.
Controllo con i log attività di Azure
I log di controllo di Microsoft Sentinel vengono mantenuti nei log Attività di Azure, in cui la tabella AzureActivity include tutte le azioni eseguite nell'area di lavoro di Microsoft Sentinel.
Usare la tabella AzureActivity quando si controlla l'attività nell'ambiente SOC con Microsoft Sentinel.
Per eseguire una query sulla tabella AzureActivity:
Installare la soluzione Attività di Azure per la soluzione Sentinel e connettere il connettore dati attività di Azure per avviare lo streaming di eventi di controllo in una nuova tabella denominata
AzureActivity
.Eseguire query sui dati usando Linguaggio di query Kusto (KQL), come qualsiasi altra tabella:
- Nella portale di Azure eseguire una query su questa tabella nella pagina Log.
- Nella piattaforma unificata per le operazioni di sicurezza di Microsoft eseguire una query su questa tabella nella pagina Ricerca avanzata ricerca >di indagini e risposte>.
La tabella AzureActivity include i dati di molti servizi, tra cui Microsoft Sentinel. Per filtrare solo i dati di Microsoft Sentinel, avviare la query con il codice seguente:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
Ad esempio, per scoprire chi è stato l'ultimo utente a modificare una determinata regola di analisi, usare la query seguente (sostituendo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
con l'ID regola della regola che si vuole controllare):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Aggiungere altri parametri alla query per esplorare ulteriormente la tabella AzureActivities, a seconda di ciò che è necessario segnalare. Le sezioni seguenti forniscono altre query di esempio da usare per il controllo con i dati della tabella AzureActivity.
Per altre informazioni, vedere Dati di Microsoft Sentinel inclusi nei log Attività di Azure.
Trovare tutte le azioni eseguite da un utente specifico nelle ultime 24 ore
Nella query seguente della tabella AzureActivity sono elencate tutte le azioni eseguite da un utente specifico di Microsoft Entra nelle ultime 24 ore.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Trovare tutte le operazioni di eliminazione
Nella query seguente della tabella AzureActivity sono elencate tutte le operazioni di eliminazione eseguite nell'area di lavoro di Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dati di Microsoft Sentinel inclusi nei log attività di Azure
I log di controllo di Microsoft Sentinel vengono mantenuti nei log Attività di Azure e includono i tipi di informazioni seguenti:
Operazione | Tipi di informazioni |
---|---|
Data di creazione | Regole di avviso Commenti per maiuscole e minuscole Commenti sugli incidenti Ricerche salvate Watchlist Cartelle di lavoro |
Eliminato | Regole di avviso Segnalibri Connettori dati Eventi imprevisti Ricerche salvate Impostazioni Report di intelligence sulle minacce Watchlist Workbooks Workflow |
Aggiornato | Regole di avviso Segnalibri Casi Connettori dati Eventi imprevisti Commenti sugli incidenti Report di intelligence sulle minacce Workbooks Workflow |
È anche possibile usare i log attività di Azure per verificare la presenza di autorizzazioni e licenze utente. Ad esempio, la tabella seguente elenca le operazioni selezionate trovate nei log attività di Azure con la risorsa specifica da cui vengono estratti i dati di log.
Nome operazione | Tipo di risorsa |
---|---|
Crea o aggiorna cartella di lavoro | Microsoft.Insights/workbooks |
Elimina cartella di lavoro | Microsoft.Insights/workbooks |
Imposta flusso di lavoro | Microsoft.Logic/workflows |
Elimina flusso di lavoro | Microsoft.Logic/workflows |
Creare una ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
Elimina ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
Aggiornare regole di avviso | Microsoft.SecurityInsights/alertRules |
Eliminare le regole di avviso | Microsoft.SecurityInsights/alertRules |
Aggiornare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
Eliminare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
Aggiornare i segnalibri | Microsoft.SecurityInsights/bookmarks |
Eliminare segnalibri | Microsoft.SecurityInsights/bookmarks |
Casi di aggiornamento | Microsoft.SecurityInsights/Cases |
Aggiornare l'analisi dei casi | Microsoft.SecurityInsights/Cases/investigations |
Creare commenti in caso di maiuscole e minuscole | Microsoft.SecurityInsights/Cases/comments |
Aggiornare i connettori dati | Microsoft.SecurityInsights/dataConnectors |
Eliminare i connettori dati | Microsoft.SecurityInsights/dataConnectors |
Aggiornare le impostazioni | Microsoft.SecurityInsights/settings |
Per altre informazioni, vedere Schema degli eventi di Log attività di Azure.
Controllo con LAQueryLogs
La tabella LAQueryLogs fornisce informazioni dettagliate sulle query di log eseguite in Log Analytics. Poiché Log Analytics viene usato come archivio dati sottostante di Microsoft Sentinel, è possibile configurare il sistema per raccogliere i dati LAQueryLogs nell'area di lavoro di Microsoft Sentinel.
I dati LAQueryLogs includono informazioni come:
- Quando sono state eseguite query
- Chi ha eseguito query in Log Analytics
- Quale strumento è stato usato per eseguire query in Log Analytics, ad esempio Microsoft Sentinel
- I testi della query stessi
- Dati sulle prestazioni per ogni esecuzione di query
Nota
La tabella LAQueryLogs include solo query eseguite nel pannello Log di Microsoft Sentinel. Non include le query eseguite dalle regole di analisi pianificate, usando Il Grafico di indagine, nella pagina Ricerca di Microsoft Sentinel o nella pagina Ricerca avanzata del portale di Defender.
Potrebbe verificarsi un breve ritardo tra l'esecuzione di una query e il popolamento dei dati nella tabella LAQueryLogs. È consigliabile attendere circa 5 minuti per eseguire una query sulla tabella LAQueryLogs per i dati di controllo.
Per eseguire una query sulla tabella LAQueryLogs:
La tabella LAQueryLogs non è abilitata per impostazione predefinita nell'area di lavoro Log Analytics. Per usare i dati LAQueryLogs durante il controllo in Microsoft Sentinel, abilitare prima di tutto LAQueryLogs nell'area Impostazioni di diagnostica dell'area di lavoro Log Analytics.
Per altre informazioni, vedere Controllare le query nei log di Monitoraggio di Azure.
Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.
Ad esempio, la query seguente mostra il numero di query eseguite nell'ultima settimana, su base giornaliera:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Le sezioni seguenti illustrano altre query di esempio da eseguire nella tabella LAQueryLogs durante il controllo delle attività nell'ambiente SOC usando Microsoft Sentinel.
Numero di query eseguite in cui la risposta non è "OK"
La query di tabella LAQueryLogs seguente mostra il numero di query eseguite, in cui è stata ricevuta una risposta HTTP diversa da 200 OK. Ad esempio, questo numero include query che non sono riuscite a essere eseguite.
LAQueryLogs
| where ResponseCode != 200
| count
Visualizzare gli utenti per query con utilizzo intensivo della CPU
La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito le query con un utilizzo elevato della CPU, in base all'utilizzo della CPU e alla durata della query.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Mostrare agli utenti che hanno eseguito la maggior parte delle query nella settimana precedente
Nella query di tabella LAQueryLogs seguente sono elencati gli utenti che hanno eseguito la maggior parte delle query nell'ultima settimana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurazione degli avvisi per le attività di Microsoft Sentinel
È possibile usare le risorse di controllo di Microsoft Sentinel per creare avvisi proattivi.
Ad esempio, se nell'area di lavoro di Microsoft Sentinel sono presenti tabelle sensibili, usare la query seguente per inviare una notifica ogni volta che vengono eseguite query su tali tabelle:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorare Microsoft Sentinel con cartelle di lavoro, regole e playbook
Usare le funzionalità di Microsoft Sentinel per monitorare eventi e azioni che si verificano all'interno di Microsoft Sentinel.
Monitorare con cartelle di lavoro. Diverse cartelle di lavoro predefinite di Microsoft Sentinel consentono di monitorare l'attività dell'area di lavoro, incluse le informazioni sugli utenti che lavorano nell'area di lavoro, le regole di analisi usate, le tattiche MITRE più coperte, bloccate o arrestate negli inserimenti e le prestazioni del team SOC.
Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel e cartelle di lavoro di Microsoft Sentinel comunemente usate
Controllare il ritardo di inserimento. In caso di dubbi sul ritardo di inserimento, impostare una variabile in una regola di analisi per rappresentare il ritardo.
Ad esempio, la regola di analisi seguente può contribuire a garantire che i risultati non includano duplicati e che i log non vengano persi durante l'esecuzione delle regole:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
Per altre informazioni, vedere Automatizzare la gestione degli incidenti in Microsoft Sentinel con regole di automazione.
Monitorare l'integrità del connettore dati usando il playbook della Soluzione di notifica push dell'integrità del connettore per controllare se l'inserimento è stato bloccato o arrestato e inviare notifiche quando un connettore ha interrotto la raccolta di dati o computer ha interrotto la segnalazione.
Passaggio successivo
In Microsoft Sentinel usare la cartella di lavoro Controllo dell'area di lavoro per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati.