Auditar consultas e atividades do Microsoft Sentinel
Este artigo descreve como exibir dados de auditoria para execução de consultas e atividades realizadas no espaço de trabalho do Microsoft Sentinel; por exemplo, para requisitos de conformidade internos e externos no espaço de trabalho SOC (Centro de Operações de Segurança).
O Microsoft Sentinel concede acesso à:
Tabela AzureActivity, que fornece detalhes sobre todas as ações executadas no Microsoft Sentinel, como edição de regras de alerta. A tabela AzureActivity não registra dados de consulta específicos. Para obter mais informações, confira Auditoria com logs de atividades do Azure.
Tabela LAQueryLogs, que fornece detalhes sobre as consultas executadas no Log Analytics, como as do Microsoft Sentinel. Para obter mais informações, confira Auditoria com LAQueryLogs.
Dica
Além das consultas manuais descritas neste artigo, recomendamos o uso da pasta de trabalho interna de Auditoria do espaço de trabalho para ajudar a auditar as atividades em seu ambiente do SOC. Para obter mais informações, confira Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Pré-requisitos
Antes de executar com sucesso as consultas de exemplo nesse artigo, você precisa ter dados relevantes no seu espaço de trabalho do Microsoft Sentinel para consultar e acessar o Microsoft Sentinel.
Para obter mais informações, veja Configurar conteúdo do Microsoft Sentinel e Funções e permissões no Microsoft Sentinel.
Auditoria com logs de Atividade do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividade do Azure, em que a tabela AzureActivity inclui todas as ações executadas no espaço de trabalho do Microsoft Sentinel.
Use a tabela AzureActivity quando auditar atividades no ambiente do SOC com o Microsoft Sentinel.
Para consultar a tabela AzureActivity:
Instale a Solução de Atividades do Azure para a solução do Sentinel e conecte o conector de dados de Atividades do Azure para iniciar eventos de auditoria de streaming em uma nova tabela chamada
AzureActivity.Consulte os dados usando a KQL (Linguagem de Consulta Kusto), como faria com qualquer outra tabela:
- No portal do Azure, consulte essa tabela na página Logs.
- Na plataforma de operações de segurança unificada da Microsoft, consulte esta tabela na página Investigação e resposta> Busca >Busca avançada de ameaças.
A tabela AzureActivity inclui dados de vários serviços, como o Microsoft Sentinel. Para filtrar somente dados do Microsoft Sentinel, inicie a consulta com o seguinte código:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Por exemplo, para descobrir quem foi o último usuário a editar uma determinada regra de análise, use a seguinte consulta (substituindo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxpelo ID da regra que você deseja verificar):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Adicione mais parâmetros à sua consulta para explorar ainda mais a tabela AzureActivities, dependendo do que você precisa relatar. As seções a seguir fornecem outras consultas de exemplo a serem usadas durante a auditoria com os dados da tabela AzureActivity.
Para obter mais informações, consulte Dados do Microsoft Sentinel incluídos em logs de Atividade do Azure.
Localizar todas as ações executadas por um determinado usuário nas últimas 24 horas
A consulta da tabela AzureActivity a seguir lista todas as ações executadas por um determinado usuário do Microsoft Entra nas últimas 24 horas.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Localizar todas as operações de exclusão
A consulta da tabela AzureActivity a seguir lista todas as operações de exclusão executadas no espaço de trabalho do Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dados do Microsoft Sentinel incluídos em logs de Atividade do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividade do Azuree incluem os seguintes tipos de informações:
| Operação | Tipos de informações |
|---|---|
| Criado | Regras de alerta Comentários de casos Comentários de incidentes Pesquisas salvas Watchlists Pastas de trabalho |
| Excluída | Regras de alerta Indicadores Conectores de dados Incidentes Pesquisas salvas Configurações Relatórios de inteligência contra ameaças Watchlists Pastas de trabalho Workflow |
| Updated | Regras de alerta Indicadores Casos Conectores de dados Incidentes Comentários de incidentes Relatórios de inteligência contra ameaças Pastas de trabalho Workflow |
Também é possível usar os logs de Atividade do Azure para verificar autorizações e licenças de usuário. Por exemplo, a tabela a seguir lista operações selecionadas encontradas em logs de Atividade do Azure com o recurso específico do qual os dados de log são extraídos.
| Nome da operação | Tipo de recurso |
|---|---|
| Criar ou atualizar pasta de trabalho | Microsoft.Insights/workbooks |
| Excluir pasta de trabalho | Microsoft.Insights/workbooks |
| Definir fluxo de trabalho | Microsoft.Logic/workflows |
| Excluir fluxo de trabalho | Microsoft.Logic/workflows |
| Criar pesquisa salva | Microsoft.OperationalInsights/workspaces/savedSearches |
| Excluir pesquisa salva | Microsoft.OperationalInsights/workspaces/savedSearches |
| Atualizar regras de alerta | Microsoft.SecurityInsights/alertRules |
| Excluir regras de alerta | Microsoft.SecurityInsights/alertRules |
| Atualizar ações de resposta a regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Excluir ações de resposta a regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Atualizar indicadores | Microsoft.SecurityInsights/bookmarks |
| Excluir indicadores | Microsoft.SecurityInsights/bookmarks |
| Atualizar casos | Microsoft.SecurityInsights/Cases |
| Atualizar investigação de casos | Microsoft.SecurityInsights/Cases/investigations |
| Criar comentários de casos | Microsoft.SecurityInsights/Cases/comments |
| Atualizar conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Excluir conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Configurações de atualização | Microsoft.SecurityInsights/settings |
Para obter mais informações, confira Esquema de eventos de Log de Atividades do Azure.
Auditoria com LAQueryLogs
A tabela LAQueryLogs fornece detalhes sobre consultas de log executadas no Log Analytics. Como Log Analytics é usado como armazenamento de dados básico do Microsoft Sentinel, configure o sistema para coletar dados de LAQueryLogs no espaço de trabalho do Microsoft Sentinel.
Os dados de LAQueryLogs incluem informações como:
- Quando as consultas foram executadas
- Quem executou as consultas no Log Analytics
- Qual ferramenta foi usada para executar as consultas no Log Analytics, como o Microsoft Sentinel
- Os próprios textos de consulta
- Dados de desempenho em cada execução de consulta
Observação
A tabela LAQueryLogs inclui somente consultas que foram executadas na folha Logs do Microsoft Sentinel. Não inclui as consultas executadas por regras de análise agendadas, usando o Gráfico de investigação, na página Caça do Microsoft Sentinel ou na página Caça avançada do portal Defender.
Pode haver um pequeno atraso entre o momento em que uma consulta é executada e que os dados são preenchidos na tabela LAQueryLogs. É recomendável aguardar cerca de 5 minutos para consultar a tabela LAQueryLogs sobre dados de auditoria.
Para consultar a tabela LAQueryLogs:
A tabela LAQueryLogs não fica habilitada por padrão no espaço de trabalho do Log Analytics. Para usar dados de LAQueryLogs ao auditar no Microsoft Sentinel, primeiro habilite LAQueryLogs na área Configurações de diagnóstico do espaço de trabalho do Log Analytics.
Para obter mais informações, consulte Auditar consultas em logs do Azure Monitor.
Em seguida, consulte os dados usando KQL, como faria com qualquer outra tabela.
Por exemplo, a consulta a seguir mostra quantas consultas foram executadas diariamente na última semana:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
As seções a seguir mostram mais consultas de exemplo a serem executadas na tabela LAQueryLogs ao auditar atividades no ambiente SOC usando o Microsoft Sentinel.
O número de consultas executadas em que a resposta não foi "OK"
A consulta da tabela LAQueryLogs a seguir mostra o número de consultas executadas em que foi recebido algo diferente de uma resposta HTTP igual a 200 OK. Por exemplo, esse número inclui consultas que falharam na execução.
LAQueryLogs
| where ResponseCode != 200
| count
Mostrar usuários de consultas com uso intensivo de CPU
A consulta da tabela LAQueryLogs a seguir lista os usuários que executaram consultas com uso intensivo de CPU, com base na CPU usada e na duração da consulta.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Mostrar usuários que executaram a maioria das consultas na última semana
A consulta da tabela LAQueryLogs a seguir lista os usuários que executaram a maioria das consultas na última semana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurando alertas para atividades do Microsoft Sentinel
Você pode usar os recursos de auditoria do Microsoft Sentinel para criar alertas proativos.
Por exemplo, se você tiver tabelas confidenciais no espaço de trabalho do Microsoft Sentinel, use a consulta a seguir para receber notificações toda vez que essas tabelas forem consultadas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorar o Microsoft Sentinel com pastas de trabalho, regras e guias estratégicos
Use os próprios recursos do Microsoft Sentinel para monitorar eventos e ações que ocorrem no Microsoft Sentinel.
Monitorar com pastas de trabalho. Várias pastas de trabalho integradas do Microsoft Sentinel podem ajudar você a monitorar a atividade do espaço de trabalho, incluindo informações sobre os usuários que trabalham nele, as regras de análise que estão sendo usadas, as táticas do MITRE mais cobertas, ingestões paralisadas ou interrompidas e o desempenho da equipe do SOC.
Para obter mais informações, veja Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel e Pastas de trabalho do Microsoft Sentinel comumente usadas
Observe o atraso de ingestão. Se você tiver dúvidas sobre o atraso da ingestão, defina uma variável em uma regra de análise para representar o atraso.
Por exemplo, a regra de análise a seguir pode ajudar a garantir que os resultados não incluam duplicatas e que os logs não se percam ao executar as regras:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPara saber mais, confira Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação.
Monitore a integridade do conector de dados usando o guia estratégico Solução de notificação por push de integridade do conector para ficar atento à parada ou à interrupção de ingestão e enviar notificações quando um conector tiver parado de coletar dados ou se os computadores tiverem interrompido o relatório.
Próxima etapa
No Microsoft Sentinel, use a pasta de trabalho Auditoria do espaço de trabalho para auditar as atividades no ambiente SOC. Para saber mais, confira Visualizar e monitorar seus dados.