Granska Microsoft Sentinel-frågor och aktiviteter
Den här artikeln beskriver hur du kan visa granskningsdata för frågor som körs och aktiviteter som utförs på din Microsoft Sentinel-arbetsyta, till exempel för interna och externa efterlevnadskrav på din SOC-arbetsyta (Security Operations).
Microsoft Sentinel ger åtkomst till:
Tabellen AzureActivity , som innehåller information om alla åtgärder som vidtas i Microsoft Sentinel, till exempel redigering av aviseringsregler. AzureActivity-tabellen loggar inte specifika frågedata. Mer information finns i Granskning med Azure-aktivitetsloggar.
LaQueryLogs-tabellen, som innehåller information om de frågor som körs i Log Analytics, inklusive frågor som körs från Microsoft Sentinel. Mer information finns i Granskning med LAQueryLogs.
Dricks
Förutom de manuella frågor som beskrivs i den här artikeln rekommenderar vi att du använder den inbyggda arbetsytans granskningsarbetsbok som hjälper dig att granska aktiviteterna i SOC-miljön. Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Förutsättningar
Innan du kan köra exempelfrågorna i den här artikeln måste du ha relevanta data på din Microsoft Sentinel-arbetsyta för att fråga efter och få åtkomst till Microsoft Sentinel.
Mer information finns i Konfigurera Microsoft Sentinel-innehåll och roller och behörigheter i Microsoft Sentinel.
Granskning med Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna, där AzureActivity-tabellen innehåller alla åtgärder som vidtas på din Microsoft Sentinel-arbetsyta.
Använd AzureActivity-tabellen när du granskar aktivitet i din SOC-miljö med Microsoft Sentinel.
Så här frågar du azureactivity-tabellen:
Installera Azure Activity-lösningen för Sentinel-lösningen och anslut Azure Activity-dataanslutningen för att starta strömmande granskningshändelser till en ny tabell med namnet
AzureActivity.Fråga efter data med hjälp av Kusto-frågespråk (KQL), precis som med andra tabeller:
- I Azure Portal frågar du den här tabellen på sidan Loggar.
- I Microsofts enhetliga plattform för säkerhetsåtgärder kör du frågor mot den här tabellen på sidan Undersökning och svar > Jakt >avancerad jakt .
AzureActivity-tabellen innehåller data från många tjänster, inklusive Microsoft Sentinel. Om du bara vill filtrera in data från Microsoft Sentinel startar du frågan med följande kod:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Om du till exempel vill ta reda på vem som senast redigerade en viss analysregel använder du följande fråga (ersätter
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxmed regel-ID:t för regeln som du vill kontrollera):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Lägg till fler parametrar i din fråga för att utforska Tabellen AzureActivities ytterligare, beroende på vad du behöver rapportera. Följande avsnitt innehåller andra exempelfrågor som ska användas vid granskning med AzureActivity-tabelldata .
Mer information finns i Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar.
Hitta alla åtgärder som vidtagits av en viss användare under de senaste 24 timmarna
Följande AzureActivity-tabellfråga visar alla åtgärder som vidtagits av en specifik Microsoft Entra-användare under de senaste 24 timmarna.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Hitta alla borttagningsåtgärder
Följande AzureActivity-tabellfråga visar en lista över alla borttagningsåtgärder som utförs på din Microsoft Sentinel-arbetsyta.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel-data som ingår i Azure-aktivitetsloggar
Microsoft Sentinels granskningsloggar underhålls i Azure-aktivitetsloggarna och innehåller följande typer av information:
| Åtgärd | Informationstyper |
|---|---|
| Skapat | Aviseringsregler Ärendekommentar Incidentkommentar Sparade sökningar Visningslistor Arbetsböcker |
| Borttagen | Aviseringsregler Bokmärken Dataanslutningar Incidenter Sparade sökningar Inställningar Rapporter om hotinformation Visningslistor Arbetsböcker Arbetsflöde |
| Uppdaterat | Aviseringsregler Bokmärken Fall Dataanslutningar Incidenter Incidentkommentar Rapporter om hotinformation Arbetsböcker Arbetsflöde |
Du kan också använda Azure-aktivitetsloggarna för att söka efter användarauktoriseringar och licenser. I följande tabell visas till exempel valda åtgärder som finns i Azure-aktivitetsloggar med den specifika resurs som loggdata hämtas från.
| Operationsnamn | Resurstyp |
|---|---|
| Skapa eller uppdatera arbetsbok | Microsoft.Insights/arbetsböcker |
| Ta bort arbetsbok | Microsoft.Insights/arbetsböcker |
| Ange arbetsflöde | Microsoft.Logic/workflows |
| Ta bort arbetsflöde | Microsoft.Logic/workflows |
| Skapa sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Ta bort sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Uppdatera aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Ta bort aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Uppdatera svarsåtgärder för aviseringsregeln | Microsoft.SecurityInsights/alertRules/actions |
| Ta bort svarsåtgärder för aviseringsregel | Microsoft.SecurityInsights/alertRules/actions |
| Uppdatera bokmärken | Microsoft.SecurityInsights/bokmärken |
| Ta bort bokmärken | Microsoft.SecurityInsights/bokmärken |
| Uppdateringsfall | Microsoft.SecurityInsights/Cases |
| Undersökning av uppdateringsfall | Microsoft.SecurityInsights/Cases/investigations |
| Skapa ärendekommentar | Microsoft.SecurityInsights/Cases/comments |
| Uppdatera dataanslutningar | Microsoft.SecurityInsights/dataConnectors |
| Ta bort dataanslutningar | Microsoft.SecurityInsights/dataConnectors |
| Uppdatera inställningar | Microsoft.SecurityInsights/settings |
Mer information finns i Händelseschema för Azure-aktivitetslogg.
Granskning med LAQueryLogs
LaQueryLogs-tabellen innehåller information om loggfrågor som körs i Log Analytics. Eftersom Log Analytics används som Microsoft Sentinels underliggande datalager kan du konfigurera systemet för att samla in LAQueryLogs-data på din Microsoft Sentinel-arbetsyta.
LAQueryLogs-data innehåller information som:
- När frågor kördes
- Vem körde frågor i Log Analytics
- Vilket verktyg användes för att köra frågor i Log Analytics, till exempel Microsoft Sentinel
- Själva frågetexterna
- Prestandadata för varje frågekörning
Kommentar
LAQueryLogs-tabellen innehåller endast frågor som har körts på bladet Loggar i Microsoft Sentinel. Den innehåller inte de frågor som körs av schemalagda analysregler, med hjälp av undersökningsgrafen, på sidan Microsoft Sentinel-jakt eller på Sidan Avancerad jakt i Defender-portalen.
Det kan uppstå en kort fördröjning mellan den tid då en fråga körs och data fylls i i tabellen LAQueryLogs . Vi rekommenderar att du väntar ungefär 5 minuter för att fråga LAQueryLogs-tabellen om granskningsdata .
Så här frågar du laQueryLogs-tabellen:
LaQueryLogs-tabellen är inte aktiverad som standard på Log Analytics-arbetsytan. Om du vill använda LAQueryLogs-data vid granskning i Microsoft Sentinel aktiverar du först LAQueryLogs i log analytics-arbetsytans diagnostikinställningar.
Mer information finns i Granska frågor i Azure Monitor-loggar.
Kör sedan frågor mot data med hjälp av KQL, precis som med andra tabeller.
Följande fråga visar till exempel hur många frågor som kördes under den senaste veckan, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
I följande avsnitt visas fler exempelfrågor som ska köras i tabellen LAQueryLogs vid granskning av aktiviteter i SOC-miljön med Microsoft Sentinel.
Antalet frågor som körs där svaret inte var "OK"
Följande LAQueryLogs-tabellfråga visar antalet frågor som körs, där allt annat än ett HTTP-svar på 200 OK togs emot. Det här numret innehåller till exempel frågor som inte kunde köras.
LAQueryLogs
| where ResponseCode != 200
| count
Visa användare för CPU-intensiva frågor
Följande LAQueryLogs-tabellfråga visar de användare som körde de mest CPU-intensiva frågorna, baserat på processoranvändning och längden på frågetiden.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Visa användare som kört flest frågor den senaste veckan
Följande LAQueryLogs-tabellfråga visar de användare som körde flest frågor under den senaste veckan.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurera aviseringar för Microsoft Sentinel-aktiviteter
Du kanske vill använda Microsoft Sentinel-granskningsresurser för att skapa proaktiva aviseringar.
Om du till exempel har känsliga tabeller på din Microsoft Sentinel-arbetsyta använder du följande fråga för att meddela dig varje gång tabellerna efterfrågas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Övervaka Microsoft Sentinel med arbetsböcker, regler och spelböcker
Använd Microsoft Sentinels egna funktioner för att övervaka händelser och åtgärder som inträffar i Microsoft Sentinel.
Övervaka med arbetsböcker. Flera inbyggda Microsoft Sentinel-arbetsböcker kan hjälpa dig att övervaka arbetsyteaktivitet, inklusive information om de användare som arbetar på din arbetsyta, de analysregler som används, MITRE-taktiken som omfattas mest, stoppade eller stoppade inmatningar och SOC-teamets prestanda.
Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel och Vanliga Microsoft Sentinel-arbetsböcker
Håll utkik efter inmatningsfördröjning. Om du har problem med inmatningsfördröjning anger du en variabel i en analysregel som representerar fördröjningen.
Följande analysregel kan till exempel bidra till att säkerställa att resultaten inte innehåller dubbletter och att loggarna inte missas när du kör reglerna:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductMer information finns i Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler.
Övervaka hälsotillståndet för dataanslutningsappen med hjälp av spelboken För push-meddelandelösning för anslutningsprogram för att hålla utkik efter stoppad eller stoppad inmatning och skicka meddelanden när en anslutningsapp har slutat samla in data eller datorer har slutat rapportera.
Gå vidare
I Microsoft Sentinel använder du arbetsytans granskningsarbetsbok för att granska aktiviteterna i din SOC-miljö. Mer information finns i Visualisera och övervaka dina data.