Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan, miten voit tarkastella Microsoft Sentinel työtilassa suoritettujen kyselyiden ja toimintojen valvontatietoja, kuten suojaustoimintojen (SOC) työtilan sisäisiä ja ulkoisia yhteensopivuusvaatimuksia.
Microsoft Sentinel tarjoaa käyttöoikeuden:
AzureActivity-taulukko, joka sisältää tietoja kaikista Microsoft Sentinel toteutetuista toiminnoista, kuten ilmoitussääntöjen muokkaamisesta. AzureActivity-taulukko ei kirjaa tiettyjä kyselytietoja. Lisätietoja on kohdassa Valvonta Azure toimintolokeilla.
LAQueryLogs-taulukko, joka sisältää tietoja Log Analyticsissa suoritettavista kyselyistä, mukaan lukien kyselyt, jotka suoritetaan Microsoft Sentinel. Lisätietoja on kohdassa Valvonta LAQueryLogsin avulla.
Vihje
Tässä artikkelissa kuvattujen manuaalisten kyselyiden lisäksi suosittelemme, että käytät sisäistä työtilan valvontatyökirjaa , jonka avulla voit valvoa toimintoja SOC-ympäristössäsi. Lisätietoja on artikkelissa Tietojen visualisointi ja valvonta työkirjojen avulla Microsoft Sentinel.
Ennakkovaatimukset
Ennen kuin voit suorittaa tämän artikkelin mallikyselyt, sinulla on oltava tarvittavat tiedot Microsoft Sentinel työtilassasi, jotta voit tehdä kyselyjä ja käyttää Microsoft Sentinel.
Lisätietoja on artikkelissa Microsoft Sentinel sisällön ja roolien ja käyttöoikeuksien määrittäminen Microsoft Sentinel.
Valvonta Azure toimintolokeilla
Microsoft Sentinel valvontalokeja säilytetään Azure toimintolokeissa, joissa AzureActivity-taulukko sisältää kaikki Microsoft Sentinel työtilassasi toteutetut toiminnot.
Käytä AzureActivity-taulukkoa, kun valvot SOC-ympäristön toimintaa Microsoft Sentinel kanssa.
AzureActivity-taulukon kysely:
Asenna Azure Activity solution for Sentinel -ratkaisu ja yhdistä Azure Activity Data Connector ja aloita valvontatapahtumien suoratoisto uuteen taulukkoon nimeltä
AzureActivity.Tee kysely tiedoista Kusto Query Languagen (KQL) avulla samalla tavalla kuin missä tahansa muussa taulukossa:
- Tee Azure-portaali kysely tästä taulukosta Lokit-sivulla.
- Tee kysely tästä taulukosta Defender-portaalin Investigation & -vastausten > metsästyksen >lisämetsästyssivulla .
AzureActivity-taulukko sisältää tietoja useista palveluista, mukaan lukien Microsoft Sentinel. Jos haluat suodattaa vain Microsoft Sentinel tietoja, aloita kysely seuraavalla koodilla:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Jos haluat esimerkiksi selvittää, kuka oli viimeinen käyttäjä, joka muokkasi tiettyä analytiikkasääntöä, käytä seuraavaa kyselyä (korvataan
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxtarkistettavan säännön sääntötunnuksella):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Lisää kyselyysi parametreja, jotta voit tutustua AzureActivities-taulukkoon tarkemmin sen mukaan, mitä sinun on raportoitava. Seuraavissa osioissa on muita esimerkkikyselyitä, joita käytetään tarkasteltaessa AzureActivity-taulukon tietoja.
Lisätietoja on artikkelissa Microsoft Sentinel Azure toimintolokeihin sisältyviä tietoja.
Etsi kaikki toiminnot, jotka tietty käyttäjä on tehnyt viimeisen 24 tunnin aikana
Seuraavassa AzureActivity-taulukon kyselyssä luetellaan kaikki toiminnot, jotka tietty Microsoft Entra käyttäjä on tehnyt viimeisen 24 tunnin aikana.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Etsi kaikki poistotoiminnot
Seuraavassa AzureActivity-taulukon kyselyssä luetellaan kaikki Microsoft Sentinel työtilassa suoritetut poistotoiminnot.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel Azure toimintolokeihin sisältyviä tietoja
Microsoft Sentinel valvontalokeja säilytetään Azure toimintolokeissa, ja ne sisältävät seuraavan tyyppisiä tietoja:
| Toiminta | Tietotyypit |
|---|---|
| Luotu | Ilmoitussäännöt Tapauksen kommentit Tapauskommentit Tallennetut haut Katseluluettelot Työkirjojen |
| Deleted | Ilmoitussäännöt Kirjanmerkit Tietoliittimet Tapaukset Tallennetut haut Asetukset Uhkien tiedusteluraportit Katseluluettelot Työkirjojen Työnkulun |
| Päivitetty | Ilmoitussäännöt Kirjanmerkit Tapauksissa Tietoliittimet Tapaukset Tapauskommentit Uhkien tiedusteluraportit Työkirjojen Työnkulun |
Voit myös tarkistaa käyttäjän valtuutukset ja käyttöoikeudet Azure toimintolokien avulla. Esimerkiksi seuraavassa taulukossa luetellaan valitut toiminnot, jotka löytyvät Azure toimintolokeista sen resurssin kanssa, josta lokitiedot haetaan.
| Toiminnon nimi | Resurssityyppi |
|---|---|
| Luo tai päivitä työkirja | Microsoft.Insights/työkirjat |
| Poista työkirja | Microsoft.Insights/työkirjat |
| Määritä työnkulku | Microsoft.Logic/workflows |
| Poista työnkulku | Microsoft.Logic/workflows |
| Luo tallennettu haku | Microsoft.OperationalInsights/workspaces/savedSearches |
| Poista tallennettu haku | Microsoft.OperationalInsights/workspaces/savedSearches |
| Ilmoitussääntöjen päivittäminen | Microsoft.SecurityInsights/alertRules |
| Poista ilmoitussäännöt | Microsoft.SecurityInsights/alertRules |
| Päivitä ilmoitussäännön vastaustoiminnot | Microsoft.SecurityInsights/alertRules/actions |
| Poista ilmoitussäännön vastaustoimintoja | Microsoft.SecurityInsights/alertRules/actions |
| Päivitä kirjanmerkit | Microsoft.SecurityInsights/bookmarks |
| Kirjanmerkkien poistaminen | Microsoft.SecurityInsights/bookmarks |
| Päivitystapaukset | Microsoft.SecurityInsights/Cases |
| Tapaustutkimuksen päivittäminen | Microsoft.SecurityInsights/Cases/investigations |
| Tapauskommenttien luominen | Microsoft.SecurityInsights/Cases/comments |
| Päivitä tietoyhdistimet | Microsoft.SecurityInsights/dataConnectors |
| Tietoyhdistimien poistaminen | Microsoft.SecurityInsights/dataConnectors |
| Päivitä asetukset | Microsoft.SecurityInsights/settings |
Lisätietoja on kohdassa Azure Toimintolokin tapahtumarakenne.
Valvonta LAQueryLogsin avulla
LAQueryLogs-taulukko sisältää tietoja Log Analyticsissa suoritettavista lokikyselyistä. Koska Log Analyticsia käytetään Microsoft Sentinel pohjana olevana tietosäilönä, voit määrittää järjestelmäsi keräämään LAQueryLogs-tietoja Microsoft Sentinel työtilassasi.
LAQueryLogs-tiedot sisältävät esimerkiksi seuraavia tietoja:
- Kyselyiden suorittamisen aikana
- Kyselyjen suoritin Log Analyticsissa
- Mitä työkalua käytettiin kyselyiden suorittamiseen Log Analyticsissa, kuten Microsoft Sentinel
- Kysely tekstejä itse
- Kunkin kyselyn suoritusten suorituskykytiedot
Huomautus
LAQueryLogs-taulukko sisältää vain kyselyt, jotka on tehty Microsoft Sentinel Logs -ruutuun. Se ei sisällä ajoitettujen analytiikkasääntöjen suorittamia kyselyitä, jotka käyttävät Investigation Graphia, Microsoft Sentinel metsästyssivulla tai Defender-portaalin Kehittyneen metsästyksen sivulla.
Kyselyn suorittamisen ja LAQueryLogs-taulukon tietojen täyttämisen välillä voi olla lyhyt viive. Suosittelemme, että odotat noin 5 minuuttia, jotta voit kysellä LAQueryLogs-taulukosta valvontatietoja.
Kyselyn tekeminen LAQueryLogs-taulukosta:
LAQueryLogs-taulukko ei ole oletusarvoisesti käytössä Log Analytics -työtilassasi. Jos haluat käyttää LAQueryLogs-tietoja Microsoft Sentinel valvonnan aikana, ota ensin LAQueryLogs käyttöön Log Analytics -työtilan Diagnostiikka-asetusalueella.
Lisätietoja on artikkelissa Valvontakyselyt Azure Valvontalokit.
Kysele sitten tietoja KQL:n avulla samalla tavalla kuin missä tahansa muussa taulukossa.
Esimerkiksi seuraava kysely näyttää, kuinka monta kyselyä on tehty viime viikolla päivittäin:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Seuraavissa osioissa näytetään lisää mallikyselyitä, jotka suoritetaan LAQueryLogs-taulukossa, kun valvot toimintoja SOC-ympäristössäsi Microsoft Sentinel avulla.
Suoritettavien kyselyiden määrä, jossa vastaus ei ollut OK
Seuraava LAQueryLogs-taulukkokysely näyttää suoritettujen kyselyiden määrän, jossa vastaanotettiin mikä tahansa muu kuin HTTP-vastaus 200 OK . Tämä luku sisältää esimerkiksi kyselyt, joiden suorittaminen epäonnistui.
LAQueryLogs
| where ResponseCode != 200
| count
Näytä suorittimen intensiivisten kyselyiden käyttäjät
Seuraavassa LAQueryLogs-taulukkokyselyssä luetellaan käyttäjät, jotka ovat suorittaneet eniten suoritintehoa vaativia kyselyjä käytetyn suorittimen ja kyselyajan perusteella.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Näytä käyttäjät, jotka ovat suorittaneet eniten kyselyitä viimeisen viikon aikana
Seuraavassa LAQueryLogs-taulukkokyselyssä luetellaan käyttäjät, jotka ovat suorittaneet eniten kyselyitä viime viikolla.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Ilmoitusten määrittäminen Microsoft Sentinel toimintoja varten
Haluat ehkä käyttää Microsoft Sentinel valvontaresursseja ennakoivien hälytysten luomiseen.
Jos Microsoft Sentinel työtilassasi on esimerkiksi arkaluonteisia taulukoita, ilmoita asiasta seuraavan kyselyn avulla aina, kun kysely tehdään kyseisille taulukoille:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Microsoft Sentinel valvonta työkirjoilla, säännöillä ja pelikirjoilla
Microsoft Sentinel omien ominaisuuksien avulla voit valvoa Microsoft Sentinel tapahtuvia tapahtumia ja toimintoja.
Valvo työkirjojen avulla. Useat sisäiset Microsoft Sentinel työkirjat voivat auttaa valvomaan työtilan toimintaa, mukaan lukien tietoja työtilassasi työskentelevistä käyttäjistä, käytettävistä analytiikkasäännöistä, katetuimmista MITRE-taktiikoista, jumiutuneimmista tai pysäytetyistä käsittelyistä sekä SOC-tiimin suorituskyvystä.
Lisätietoja on artikkelissa Tietojen visualisointi ja valvonta työkirjojen avulla Microsoft Sentinel ja yleisesti käytetyissä Microsoft Sentinel työkirjoissa
Varo käsittelyviivettä. Jos olet huolissasi käsittelyviiveestä, määritä analytiikkasääntöön muuttuja, joka edustaa viivettä.
Esimerkiksi seuraava analytiikkasääntö voi auttaa varmistamaan, että tulokset eivät sisällä kaksoiskappaleita ja että lokit eivät jää huomaamatta sääntöjä suoritettaessa:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductLisätietoja on artikkelissa Tapausten käsittelyn automatisointi Microsoft Sentinel automaatiosäännöillä.
Valvo tietoliittimen kuntoaConnector Health Push Notification Solution -toistokirjan avulla, jotta voit seurata jumittunutta tai keskeytettyä käsittelytoimintoa, ja lähettää ilmoituksia, kun liitin on lopettanut tietojen keräämisen tai kun koneet ovat lopettaneet raportoinnin.
Katso lisätietoja seuraavista edellisissä esimerkeissä käytetyistä kohteista Kusto-dokumentaatiosta:
- let-lause
- where-operaattori
- projektioperaattori
- count-operaattori
- lajitteluoperaattori
- laajenna-operaattori
- liitosoperaattori
- summarize-operaattori
- ago() -funktio
- ingestion_time() -funktio
- count() -koostefunktio
- arg_max() -koostefunktio
Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.
Muut resurssit:
Seuraavat vaiheet
Microsoft Sentinel työtilan valvontatyökirjan avulla voit valvoa toimintoja SOC-ympäristössäsi. Lisätietoja on kohdassa Tietojen visualisointi ja valvonta.