Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo puede ver los datos de auditoría de las consultas ejecutadas y las actividades realizadas en el área de trabajo de Microsoft Sentinel, como los requisitos de cumplimiento internos y externos en el área de trabajo operaciones de seguridad (SOC).
Microsoft Sentinel proporciona acceso a:
La tabla AzureActivity, que proporciona detalles sobre todas las acciones realizadas en Microsoft Sentinel, como la edición de reglas de alertas. La tabla AzureActivity no registra datos de consulta específicos. Para obtener más información, consulte Auditoría con registros de actividad de Azure.
La tabla LAQueryLogs, que proporciona detalles sobre las consultas que se ejecutan en Log Analytics, incluidas las consultas que se ejecutan desde Microsoft Sentinel. Para obtener más información, consulte Auditoría con LAQueryLogs.
Sugerencia
Además de las consultas manuales descritas en este artículo, se recomienda usar el libro de auditoría del área de trabajo integrado que le ayudará a auditar las actividades en el entorno de SOC. Para obtener más información, consulte Visualización y supervisión de los datos mediante libros en Microsoft Sentinel.
Requisitos previos
Para poder ejecutar correctamente las consultas de ejemplo de este artículo, debe tener datos relevantes en el área de trabajo de Microsoft Sentinel para consultar y acceder a Microsoft Sentinel.
Para obtener más información, vea Configurar el contenido de Microsoft Sentinel y Roles y permisos en Microsoft Sentinel.
Auditoría con registros de actividad de Azure
Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure, donde la tabla AzureActivity incluye todas las acciones realizadas en el área de trabajo de Microsoft Sentinel.
Use la tabla AzureActivity al auditar la actividad en el entorno de SOC con Microsoft Sentinel.
Para consultar la tabla AzureActivity:
Instale la solución de actividad de Azure para Sentinel solución y conecte el conector de datos de actividad de Azure para iniciar el streaming de eventos de auditoría en una nueva tabla denominada
AzureActivity.Consulte los datos mediante Lenguaje de consulta Kusto (KQL), como haría con cualquier otra tabla:
- En el Azure Portal, consulte esta tabla en la página Registros.
- En el portal de Defender, consulte esta tabla en la página Investigación & respuesta > Búsqueda >avanzada .
La tabla AzureActivity incluye datos de muchos servicios, incluidos Microsoft Sentinel. Para filtrar solo los datos de Microsoft Sentinel, inicie la consulta con el código siguiente:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Por ejemplo, para averiguar quién fue el último usuario en editar una regla de análisis determinada, use la siguiente consulta (reemplazando
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxpor el identificador de regla de la regla que desea comprobar):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Agregue más parámetros a la consulta para explorar aún más la tabla AzureActivities , en función de lo que necesite informar. En las secciones siguientes se proporcionan otras consultas de ejemplo que se usarán al auditar con datos de tabla AzureActivity .
Para obtener más información, consulte Microsoft Sentinel datos incluidos en los registros de actividad de Azure.
Buscar todas las acciones realizadas por un usuario específico en las últimas 24 horas
En la siguiente consulta de tabla AzureActivity se enumeran todas las acciones realizadas por un usuario Microsoft Entra específico en las últimas 24 horas.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Buscar todas las operaciones de eliminación
En la siguiente consulta de tabla AzureActivity se enumeran todas las operaciones de eliminación realizadas en el área de trabajo de Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel datos incluidos en los registros de actividad de Azure
Los registros de auditoría de Microsoft Sentinel se mantienen en los registros de actividad de Azure e incluyen los siguientes tipos de información:
| Operación | Tipos de información |
|---|---|
| Created | Reglas de alerta Comentarios de mayúsculas y minúsculas Comentarios de incidentes Búsquedas guardadas Listas de reproducción Libros |
| Eliminado | Reglas de alerta Bookmarks Conectores de datos Incidentes Búsquedas guardadas Configuraciones Informes de inteligencia sobre amenazas Listas de reproducción Libros Flujo de trabajo |
| Updated | Reglas de alerta Bookmarks Casos Conectores de datos Incidentes Comentarios de incidentes Informes de inteligencia sobre amenazas Libros Flujo de trabajo |
También puede usar los registros de actividad de Azure para comprobar las autorizaciones y licencias de usuario. Por ejemplo, en la tabla siguiente se enumeran las operaciones seleccionadas que se encuentran en Azure registros de actividad con el recurso específico del que se extraen los datos de registro.
| Nombre de operación | Tipo de recurso |
|---|---|
| Creación o actualización de un libro | Microsoft.Insights/workbooks |
| Eliminar libro | Microsoft.Insights/workbooks |
| Establecer flujo de trabajo | Microsoft.Logic/workflows |
| Eliminar flujo de trabajo | Microsoft.Logic/workflows |
| Creación de una búsqueda guardada | Microsoft.OperationalInsights/workspaces/savedSearches |
| Eliminar búsqueda guardada | Microsoft.OperationalInsights/workspaces/savedSearches |
| Actualización de reglas de alertas | Microsoft.SecurityInsights/alertRules |
| Eliminación de reglas de alerta | Microsoft.SecurityInsights/alertRules |
| Actualizar las acciones de respuesta de la regla de alertas | Microsoft.SecurityInsights/alertRules/actions |
| Eliminar acciones de respuesta de regla de alertas | Microsoft.SecurityInsights/alertRules/actions |
| Actualizar marcadores | Microsoft.SecurityInsights/bookmarks |
| Eliminar marcadores | Microsoft.SecurityInsights/bookmarks |
| Casos de actualización | Microsoft.SecurityInsights/Cases |
| Actualización de la investigación de casos | Microsoft.SecurityInsights/Cases/investigations |
| Crear comentarios de caso | Microsoft.SecurityInsights/Cases/comments |
| Actualización de conectores de datos | Microsoft.SecurityInsights/dataConnectors |
| Eliminación de conectores de datos | Microsoft.SecurityInsights/dataConnectors |
| Actualizar configuración | Microsoft.SecurityInsights/settings |
Para obtener más información, consulte Azure esquema de eventos del registro de actividad.
Auditoría con LAQueryLogs
La tabla LAQueryLogs proporciona detalles sobre las consultas de registro que se ejecutan en Log Analytics. Dado que Log Analytics se usa como almacén de datos subyacente de Microsoft Sentinel, puede configurar el sistema para recopilar datos de LAQueryLogs en el área de trabajo de Microsoft Sentinel.
Los datos de LAQueryLogs incluyen información como:
- Cuando se ejecutaron las consultas
- Quién ejecutó consultas en Log Analytics
- ¿Qué herramienta se usó para ejecutar consultas en Log Analytics, como Microsoft Sentinel
- Los propios textos de consulta
- Datos de rendimiento en cada ejecución de consulta
Nota:
La tabla LAQueryLogs solo incluye las consultas que se han ejecutado en la hoja Registros de Microsoft Sentinel. No incluye las consultas ejecutadas por reglas de análisis programadas, mediante El gráfico de investigación, en la página búsqueda de Microsoft Sentinel o en la página Búsqueda avanzada del portal de Defender.
Puede haber un breve retraso entre el momento en que se ejecuta una consulta y los datos se rellenan en la tabla LAQueryLogs . Se recomienda esperar unos 5 minutos para consultar los datos de auditoría en la tabla LAQueryLogs .
Para consultar la tabla LAQueryLogs:
La tabla LAQueryLogs no está habilitada de forma predeterminada en el área de trabajo de Log Analytics. Para usar los datos de LAQueryLogs al auditar en Microsoft Sentinel, habilite primero LAQueryLogs en el área de configuración de diagnóstico del área de trabajo de Log Analytics.
Para obtener más información, consulte Auditar consultas en registros de Azure Monitor.
A continuación, consulte los datos mediante KQL, como haría con cualquier otra tabla.
Por ejemplo, en la consulta siguiente se muestra cuántas consultas se ejecutaron en la última semana, cada día:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
En las secciones siguientes se muestran más consultas de ejemplo que se ejecutarán en la tabla LAQueryLogs al auditar las actividades en el entorno de SOC mediante Microsoft Sentinel.
El número de consultas que se ejecutan donde la respuesta no era "Correcta"
La siguiente consulta de tabla LAQueryLogs muestra el número de consultas ejecutadas, donde se recibió cualquier cosa que no sea una respuesta HTTP de 200 OK . Por ejemplo, este número incluye consultas que no se han podido ejecutar.
LAQueryLogs
| where ResponseCode != 200
| count
Mostrar usuarios para consultas que consumen mucha CPU
En la siguiente consulta de tabla LAQueryLogs se enumeran los usuarios que ejecutaron las consultas más intensivas de CPU, en función de la CPU usada y la duración del tiempo de consulta.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Mostrar los usuarios que ejecutaron la mayoría de las consultas de la semana pasada
En la siguiente consulta de tabla LAQueryLogs se enumeran los usuarios que ejecutaron la mayoría de las consultas de la última semana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configuración de alertas para actividades de Microsoft Sentinel
Es posible que quiera usar Microsoft Sentinel recursos de auditoría para crear alertas proactivas.
Por ejemplo, si tiene tablas confidenciales en el área de trabajo de Microsoft Sentinel, use la siguiente consulta para notificarle cada vez que se consulten esas tablas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Supervisión de Microsoft Sentinel con libros, reglas y cuadernos de estrategias
Use las propias características de Microsoft Sentinel para supervisar los eventos y acciones que se producen dentro de Microsoft Sentinel.
Supervisión con libros. Varios libros de Microsoft Sentinel integrados pueden ayudarle a supervisar la actividad del área de trabajo, incluida la información sobre los usuarios que trabajan en el área de trabajo, las reglas de análisis que se usan, las tácticas de MITRE más cubiertas, detenidas o detenidas ingestas y el rendimiento del equipo de SOC.
Para obtener más información, consulte Visualización y supervisión de los datos mediante libros de Microsoft Sentinel y de uso común Microsoft Sentinel libros
Observe el retraso de la ingesta. Si le preocupa el retraso de ingesta, establezca una variable en una regla de análisis para representar el retraso.
Por ejemplo, la siguiente regla de análisis puede ayudar a garantizar que los resultados no incluyan duplicados y que los registros no se pierdan al ejecutar las reglas:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPara obtener más información, consulte Automatización del control de incidentes en Microsoft Sentinel con reglas de automatización.
Supervise el estado del conector de datos mediante el cuaderno de estrategias de la solución de notificaciones push de estado del conector para ver si la ingesta está detenida o detenida y enviar notificaciones cuando un conector ha dejado de recopilar datos o las máquinas han dejado de informar.
Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:
- let (instrucción)
- where (operador)
- operador project
- count (operador)
- Operador de ordenación
- operador extend
- operador join
- operador summarize
- ago() (función)
- función ingestion_time()
- función de agregación count()
- Función de agregación arg_max()
Para obtener más información sobre KQL, consulte introducción a Lenguaje de consulta Kusto (KQL).
Otros recursos:
Paso siguiente
En Microsoft Sentinel, use el libro de auditoría Área de trabajo para auditar las actividades en el entorno de SOC. Para obtener más información, consulte Visualización y supervisión de los datos.