Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver hvordan du kan vise overvåkingsdata for spørringer som kjøres og aktiviteter som utføres i Microsoft Sentinel arbeidsområdet, for eksempel for interne og eksterne samsvarskrav i arbeidsområdet for sikkerhetsoperasjoner (SOC).
Microsoft Sentinel gir tilgang til:
AzureActivity-tabellen, som gir detaljer om alle handlinger som utføres i Microsoft Sentinel, for eksempel redigering av varslingsregler. AzureActivity-tabellen logger ikke bestemte spørringsdata. Hvis du vil ha mer informasjon, kan du se Overvåking med Azure aktivitetslogger.
LAQueryLogs-tabellen, som gir detaljer om spørringene som kjøres i Log Analytics, inkludert spørringer som kjøres fra Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Revisjon med LAQueryLogs.
Tips
I tillegg til de manuelle spørringene som er beskrevet i denne artikkelen, anbefaler vi at du bruker den innebygde arbeidsområdets overvåkingsarbeidsbok til å overvåke aktivitetene i SOC-miljøet. Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene ved hjelp av arbeidsbøker i Microsoft Sentinel.
Forutsetninger
Før du kan kjøre eksempelspørringene i denne artikkelen, må du ha relevante data i Microsoft Sentinel-arbeidsområdet for å spørre etter og få tilgang til Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Sentinel innhold og roller og tillatelser i Microsoft Sentinel.
Overvåking med aktivitetslogger for Azure
Microsoft Sentinel sine overvåkingslogger opprettholdes i Azure aktivitetslogger, der AzureActivity-tabellen inneholder alle handlinger som er utført i Microsoft Sentinel-arbeidsområdet.
Bruk AzureActivity-tabellen når du overvåker aktivitet i SOC-miljøet med Microsoft Sentinel.
Slik spør du AzureActivity-tabellen:
Installer Azure aktivitetsløsningen for Sentinel løsning, og koble Azure Aktivitet-datakoblingen til å starte overvåkingshendelser for strømming i en ny tabell kalt
AzureActivity.Spør dataene ved hjelp av Kusto Query Language (KQL), slik du ville gjort med en hvilken som helst annen tabell:
- I Azure Portal spør du denne tabellen på Logger-siden.
- I Defender-portalen kan du spørre denne tabellen i undersøkelsessiden & svar >> jakt avansert jakt.
AzureActivity-tabellen inneholder data fra mange tjenester, inkludert Microsoft Sentinel. Hvis du bare vil filtrere inn data fra Microsoft Sentinel, starter du spørringen med følgende kode:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Hvis du for eksempel vil finne ut hvem som var den siste brukeren som redigerte en bestemt analyseregel, bruker du følgende spørring (erstatter
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxmed regel-ID-en for regelen du vil kontrollere):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Legg til flere parametere i spørringen for å utforske AzureActivities-tabellen ytterligere, avhengig av hva du trenger å rapportere. Avsnittene nedenfor inneholder andre eksempelspørringer som skal brukes ved overvåking med AzureActivity-tabelldata .
Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel data som er inkludert i Azure aktivitetslogger.
Finn alle handlinger som er utført av en bestemt bruker i løpet av de siste 24 timene
Følgende AzureActivity-tabellspørring viser alle handlinger som er utført av en bestemt Microsoft Entra bruker i løpet av de siste 24 timene.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Finn alle sletteoperasjoner
Følgende AzureActivity-tabellspørring viser alle sletteoperasjoner som er utført i Microsoft Sentinel arbeidsområdet.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel data som er inkludert i Azure aktivitetslogger
Microsoft Sentinel sine overvåkingslogger opprettholdes i Azure aktivitetslogger, og inkluderer følgende typer informasjon:
| Operasjonen | Informasjonstyper |
|---|---|
| Opprettet | Varslingsregler Saksmerknader Hendelseskommentarer Lagrede søk Visningslister Arbeidsbøker |
| Slettet | Varslingsregler Bokmerker Datakoblinger Hendelser Lagrede søk Innstillinger Rapporter om trusselintelligens Visningslister Arbeidsbøker Arbeidsflyt |
| Oppdatert | Varslingsregler Bokmerker Tilfeller Datakoblinger Hendelser Hendelseskommentarer Rapporter om trusselintelligens Arbeidsbøker Arbeidsflyt |
Du kan også bruke Azure aktivitetslogger til å se etter brukerautorisasjoner og lisenser. Tabellen nedenfor viser for eksempel valgte operasjoner som finnes i Azure Aktivitetslogger med den bestemte ressursen loggdataene hentes fra.
| Operasjonsnavn | Ressurstype |
|---|---|
| Opprett eller oppdater arbeidsbok | Microsoft.Insights/arbeidsbøker |
| Slett arbeidsbok | Microsoft.Insights/arbeidsbøker |
| Angi arbeidsflyt | Microsoft.Logic/arbeidsflyter |
| Slett arbeidsflyt | Microsoft.Logic/arbeidsflyter |
| Opprett lagret søk | Microsoft.OperationalInsights/workspaces/savedSearches |
| Slett lagret søk | Microsoft.OperationalInsights/workspaces/savedSearches |
| Oppdater varslingsregler | Microsoft.SecurityInsights/alertRules |
| Slett varslingsregler | Microsoft.SecurityInsights/alertRules |
| Oppdater svarhandlinger for varslingsregel | Microsoft.SecurityInsights/alertRules/actions |
| Slett svarhandlinger for varslingsregel | Microsoft.SecurityInsights/alertRules/actions |
| Oppdater bokmerker | Microsoft.SecurityInsights/bokmerker |
| Slette bokmerker | Microsoft.SecurityInsights/bokmerker |
| Oppdater saker | Microsoft.SecurityInsights/Saker |
| Oppdater saksundersøkelse | Microsoft.SecurityInsights/Saker/undersøkelser |
| Opprette saksmerknader | Microsoft.SecurityInsights/Saker/kommentarer |
| Oppdatere datakoblinger | Microsoft.SecurityInsights/dataConnectors |
| Slette datakoblinger | Microsoft.SecurityInsights/dataConnectors |
| Oppdater innstillinger | Microsoft.SecurityInsights/innstillinger |
Hvis du vil ha mer informasjon, kan du se Azure aktivitetslogghendelsesskjema.
Overvåking med LAQueryLogs
LAQueryLogs-tabellen inneholder detaljer om loggspørringer som kjøres i Log Analytics. Siden Log Analytics brukes som Microsoft Sentinel underliggende datalager, kan du konfigurere systemet til å samle inn LAQueryLogs-data i Microsoft Sentinel-arbeidsområdet.
LAQueryLogs-data inneholder informasjon som:
- Når spørringer ble kjørt
- Hvem som kjørte spørringer i Log Analytics
- Hvilket verktøy som ble brukt til å kjøre spørringer i Log Analytics, for eksempel Microsoft Sentinel
- Selve spørringstekstene
- Ytelsesdata på hver spørringskjøring
Obs!
LAQueryLogs-tabellen inneholder bare spørringer som er kjørt i Logs-bladet på Microsoft Sentinel. Den inkluderer ikke spørringene som kjøres av planlagte analyseregler, ved hjelp av undersøkelsesgrafen, på Microsoft Sentinel jaktsiden eller på Avansert jakt-siden i Defender-portalen.
Det kan være en kort forsinkelse mellom tidspunktet en spørring kjøres, og dataene fylles ut i LAQueryLogs-tabellen . Vi anbefaler at du venter ca. 5 minutter på å spørre LAQueryLogs-tabellen etter overvåkingsdata .
Slik spør du LAQueryLogs-tabellen:
LAQueryLogs-tabellen er ikke aktivert som standard i Log Analytics-arbeidsområdet. Hvis du vil bruke LAQueryLogs-data når du overvåker i Microsoft Sentinel, må du først aktivere LAQueryLogs i Diagnoseinnstillinger-området i Log Analytics-arbeidsområdet.
Hvis du vil ha mer informasjon, kan du se Overvåkingsspørringer i Azure Overvåke logger.
Deretter spør du dataene ved hjelp av KQL, slik du ville gjort med en hvilken som helst annen tabell.
Følgende spørring viser for eksempel hvor mange spørringer som ble kjørt den siste uken, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Avsnittene nedenfor viser flere eksempelspørringer som skal kjøres i LAQueryLogs-tabellen når du overvåker aktiviteter i SOC-miljøet ved hjelp av Microsoft Sentinel.
Antall spørringer som kjøres der svaret ikke var «OK»
Følgende LAQueryLogs-tabellspørring viser antall spørringer som kjøres, der noe annet enn et HTTP-svar på 200 OK ble mottatt. Dette tallet inneholder for eksempel spørringer som ikke kunne kjøres.
LAQueryLogs
| where ResponseCode != 200
| count
Vis brukere for CPU-intensive spørringer
Følgende LAQueryLogs-tabellspørring viser brukerne som kjørte de mest CPU-intensive spørringene, basert på CPU brukt og lengden på spørringstiden.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Vis brukere som kjørte flest spørringer den siste uken
Følgende LAQueryLogs-tabellspørring viser brukerne som kjørte flest spørringer den siste uken.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurere varsler for Microsoft Sentinel aktiviteter
Du vil kanskje bruke Microsoft Sentinel overvåkingsressurser til å opprette proaktive varsler.
Hvis du for eksempel har sensitive tabeller i Microsoft Sentinel arbeidsområdet, bruker du følgende spørring til å varsle deg hver gang disse tabellene spørres:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Overvåk Microsoft Sentinel med arbeidsbøker, regler og strategibøker
Bruk Microsoft Sentinel egne funksjoner til å overvåke hendelser og handlinger som forekommer i Microsoft Sentinel.
Overvåk med arbeidsbøker. Flere innebygde Microsoft Sentinel arbeidsbøker kan hjelpe deg med å overvåke arbeidsområdeaktivitet, inkludert informasjon om brukerne som arbeider i arbeidsområdet, analysereglene som brukes, MITRE-taktikken som er mest dekket, stoppet eller stoppet inntak og SOC-teamytelse.
Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene ved hjelp av arbeidsbøker i Microsoft Sentinel og ofte brukte Microsoft Sentinel arbeidsbøker
Se etter inntaksforsinkelse. Hvis du er bekymret for inntaksforsinkelsen, angir du en variabel i en analyseregel for å representere forsinkelsen.
Følgende analyseregel kan for eksempel bidra til å sikre at resultatene ikke inkluderer duplikater, og at logger ikke går glipp av når du kjører reglene:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductHvis du vil ha mer informasjon, kan du se Automatiser hendelseshåndtering i Microsoft Sentinel med automatiseringsregler.
Overvåk datakoblingstilstand ved hjelp av strategiplanen for push-varsling for koblingstilstand for å se etter stanset eller stoppet inntak, og send varsler når en kobling har sluttet å samle inn data, eller maskiner har sluttet å rapportere.
Se mer informasjon om følgende elementer som brukes i eksemplene ovenfor, i Kusto-dokumentasjonen:
- let-setning
- hvor operator
- prosjektoperator
- count-operator
- sorteringsoperator
- utvidelsesoperator
- sammenføyningsoperator
- sammendragsoperator
- ago() funksjon
- ingestion_time() funksjon
- count() aggregasjonsfunksjon
- aggregasjonsfunksjon for arg_max()
Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).
Andre ressurser:
Neste trinn:
I Microsoft Sentinel bruker du arbeidsområdets overvåkingsarbeidsbok til å overvåke aktivitetene i SOC-miljøet. Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene.