Condividi tramite


Controllare query e attività di Microsoft Sentinel

Questo articolo descrive come visualizzare i dati di controllo per le query eseguite e le attività eseguite nell'area di lavoro di Microsoft Sentinel, ad esempio per i requisiti di conformità interni ed esterni nell'area di lavoro Operazioni di sicurezza (SOC).

Microsoft Sentinel fornisce l'accesso a:

  • La tabella AzureActivity, che fornisce informazioni dettagliate su tutte le azioni eseguite in Microsoft Sentinel, ad esempio la modifica delle regole di avviso. La tabella AzureActivity non registra dati di query specifici. Per altre informazioni, vedere Controllo con i log attività di Azure.

  • La tabella LAQueryLogs, che fornisce informazioni dettagliate sulle query eseguite in Log Analytics, incluse le query eseguite da Microsoft Sentinel. Per altre informazioni, vedere Controllo con LAQueryLogs.

Suggerimento

Oltre alle query manuali descritte in questo articolo, è consigliabile usare la cartella di lavoro di controllo predefinita dell'area di lavoro per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.

Prerequisiti

Controllo con i log attività di Azure

I log di controllo di Microsoft Sentinel vengono mantenuti nei log Attività di Azure, in cui la tabella AzureActivity include tutte le azioni eseguite nell'area di lavoro di Microsoft Sentinel.

Usare la tabella AzureActivity quando si controlla l'attività nell'ambiente SOC con Microsoft Sentinel.

Per eseguire una query sulla tabella AzureActivity:

  1. Installare la soluzione Attività di Azure per la soluzione Sentinel e connettere il connettore dati attività di Azure per avviare lo streaming di eventi di controllo in una nuova tabella denominata AzureActivity.

  2. Eseguire query sui dati usando Linguaggio di query Kusto (KQL), come qualsiasi altra tabella:

    • Nella portale di Azure eseguire una query su questa tabella nella pagina Log.
    • Nella piattaforma unificata per le operazioni di sicurezza di Microsoft eseguire una query su questa tabella nella pagina Ricerca avanzata ricerca >di indagini e risposte>.

    La tabella AzureActivity include i dati di molti servizi, tra cui Microsoft Sentinel. Per filtrare solo i dati di Microsoft Sentinel, avviare la query con il codice seguente:

     AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
    

    Ad esempio, per scoprire chi è stato l'ultimo utente a modificare una determinata regola di analisi, usare la query seguente (sostituendo xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx con l'ID regola della regola che si vuole controllare):

    AzureActivity
    | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
    | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    | project Caller , TimeGenerated , Properties
    

Aggiungere altri parametri alla query per esplorare ulteriormente la tabella AzureActivities, a seconda di ciò che è necessario segnalare. Le sezioni seguenti forniscono altre query di esempio da usare per il controllo con i dati della tabella AzureActivity.

Per altre informazioni, vedere Dati di Microsoft Sentinel inclusi nei log Attività di Azure.

Trovare tutte le azioni eseguite da un utente specifico nelle ultime 24 ore

Nella query seguente della tabella AzureActivity sono elencate tutte le azioni eseguite da un utente specifico di Microsoft Entra nelle ultime 24 ore.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

Trovare tutte le operazioni di eliminazione

Nella query seguente della tabella AzureActivity sono elencate tutte le operazioni di eliminazione eseguite nell'area di lavoro di Microsoft Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

Dati di Microsoft Sentinel inclusi nei log attività di Azure

I log di controllo di Microsoft Sentinel vengono mantenuti nei log Attività di Azure e includono i tipi di informazioni seguenti:

Operazione Tipi di informazioni
Data di creazione Regole di avviso
Commenti per maiuscole e minuscole
Commenti sugli incidenti
Ricerche salvate
Watchlist
Cartelle di lavoro
Eliminato Regole di avviso
Segnalibri
Connettori dati
Eventi imprevisti
Ricerche salvate
Impostazioni
Report di intelligence sulle minacce
Watchlist
Workbooks
Workflow
Aggiornato Regole di avviso
Segnalibri
Casi
Connettori dati
Eventi imprevisti
Commenti sugli incidenti
Report di intelligence sulle minacce
Workbooks
Workflow

È anche possibile usare i log attività di Azure per verificare la presenza di autorizzazioni e licenze utente. Ad esempio, la tabella seguente elenca le operazioni selezionate trovate nei log attività di Azure con la risorsa specifica da cui vengono estratti i dati di log.

Nome operazione Tipo di risorsa
Crea o aggiorna cartella di lavoro Microsoft.Insights/workbooks
Elimina cartella di lavoro Microsoft.Insights/workbooks
Imposta flusso di lavoro Microsoft.Logic/workflows
Elimina flusso di lavoro Microsoft.Logic/workflows
Creare una ricerca salvata Microsoft.OperationalInsights/workspaces/savedSearches
Elimina ricerca salvata Microsoft.OperationalInsights/workspaces/savedSearches
Aggiornare regole di avviso Microsoft.SecurityInsights/alertRules
Eliminare le regole di avviso Microsoft.SecurityInsights/alertRules
Aggiornare le azioni di risposta alle regole di avviso Microsoft.SecurityInsights/alertRules/actions
Eliminare le azioni di risposta alle regole di avviso Microsoft.SecurityInsights/alertRules/actions
Aggiornare i segnalibri Microsoft.SecurityInsights/bookmarks
Eliminare segnalibri Microsoft.SecurityInsights/bookmarks
Casi di aggiornamento Microsoft.SecurityInsights/Cases
Aggiornare l'analisi dei casi Microsoft.SecurityInsights/Cases/investigations
Creare commenti in caso di maiuscole e minuscole Microsoft.SecurityInsights/Cases/comments
Aggiornare i connettori dati Microsoft.SecurityInsights/dataConnectors
Eliminare i connettori dati Microsoft.SecurityInsights/dataConnectors
Aggiornare le impostazioni Microsoft.SecurityInsights/settings

Per altre informazioni, vedere Schema degli eventi di Log attività di Azure.

Controllo con LAQueryLogs

La tabella LAQueryLogs fornisce informazioni dettagliate sulle query di log eseguite in Log Analytics. Poiché Log Analytics viene usato come archivio dati sottostante di Microsoft Sentinel, è possibile configurare il sistema per raccogliere i dati LAQueryLogs nell'area di lavoro di Microsoft Sentinel.

I dati LAQueryLogs includono informazioni come:

  • Quando sono state eseguite query
  • Chi ha eseguito query in Log Analytics
  • Quale strumento è stato usato per eseguire query in Log Analytics, ad esempio Microsoft Sentinel
  • I testi della query stessi
  • Dati sulle prestazioni per ogni esecuzione di query

Nota

  • La tabella LAQueryLogs include solo query eseguite nel pannello Log di Microsoft Sentinel. Non include le query eseguite dalle regole di analisi pianificate, usando Il Grafico di indagine, nella pagina Ricerca di Microsoft Sentinel o nella pagina Ricerca avanzata del portale di Defender.

  • Potrebbe verificarsi un breve ritardo tra l'esecuzione di una query e il popolamento dei dati nella tabella LAQueryLogs. È consigliabile attendere circa 5 minuti per eseguire una query sulla tabella LAQueryLogs per i dati di controllo.

Per eseguire una query sulla tabella LAQueryLogs:

  1. La tabella LAQueryLogs non è abilitata per impostazione predefinita nell'area di lavoro Log Analytics. Per usare i dati LAQueryLogs durante il controllo in Microsoft Sentinel, abilitare prima di tutto LAQueryLogs nell'area Impostazioni di diagnostica dell'area di lavoro Log Analytics.

    Per altre informazioni, vedere Controllare le query nei log di Monitoraggio di Azure.

  2. Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.

    Ad esempio, la query seguente mostra il numero di query eseguite nell'ultima settimana, su base giornaliera:

    LAQueryLogs
    | where TimeGenerated > ago(7d)
    | summarize events_count=count() by bin(TimeGenerated, 1d)
    

Le sezioni seguenti illustrano altre query di esempio da eseguire nella tabella LAQueryLogs durante il controllo delle attività nell'ambiente SOC usando Microsoft Sentinel.

Numero di query eseguite in cui la risposta non è "OK"

La query di tabella LAQueryLogs seguente mostra il numero di query eseguite, in cui è stata ricevuta una risposta HTTP diversa da 200 OK. Ad esempio, questo numero include query che non sono riuscite a essere eseguite.

LAQueryLogs
| where ResponseCode != 200 
| count 

Visualizzare gli utenti per query con utilizzo intensivo della CPU

La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito le query con un utilizzo elevato della CPU, in base all'utilizzo della CPU e alla durata della query.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

Mostrare agli utenti che hanno eseguito la maggior parte delle query nella settimana precedente

Nella query di tabella LAQueryLogs seguente sono elencati gli utenti che hanno eseguito la maggior parte delle query nell'ultima settimana.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

Configurazione degli avvisi per le attività di Microsoft Sentinel

È possibile usare le risorse di controllo di Microsoft Sentinel per creare avvisi proattivi.

Ad esempio, se nell'area di lavoro di Microsoft Sentinel sono presenti tabelle sensibili, usare la query seguente per inviare una notifica ogni volta che vengono eseguite query su tali tabelle:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

Monitorare Microsoft Sentinel con cartelle di lavoro, regole e playbook

Usare le funzionalità di Microsoft Sentinel per monitorare eventi e azioni che si verificano all'interno di Microsoft Sentinel.

  • Monitorare con cartelle di lavoro. Diverse cartelle di lavoro predefinite di Microsoft Sentinel consentono di monitorare l'attività dell'area di lavoro, incluse le informazioni sugli utenti che lavorano nell'area di lavoro, le regole di analisi usate, le tattiche MITRE più coperte, bloccate o arrestate negli inserimenti e le prestazioni del team SOC.

    Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel e cartelle di lavoro di Microsoft Sentinel comunemente usate

  • Controllare il ritardo di inserimento. In caso di dubbi sul ritardo di inserimento, impostare una variabile in una regola di analisi per rappresentare il ritardo.

    Ad esempio, la regola di analisi seguente può contribuire a garantire che i risultati non includano duplicati e che i log non vengano persi durante l'esecuzione delle regole:

    let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
    - Calculating ingestion delay
      CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
    

    Per altre informazioni, vedere Automatizzare la gestione degli incidenti in Microsoft Sentinel con regole di automazione.

  • Monitorare l'integrità del connettore dati usando il playbook della Soluzione di notifica push dell'integrità del connettore per controllare se l'inserimento è stato bloccato o arrestato e inviare notifiche quando un connettore ha interrotto la raccolta di dati o computer ha interrotto la segnalazione.

Passaggio successivo

In Microsoft Sentinel usare la cartella di lavoro Controllo dell'area di lavoro per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati.