Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u controlegegevens kunt weergeven voor uitgevoerde query's en activiteiten die worden uitgevoerd in uw Microsoft Sentinel werkruimte, zoals voor interne en externe nalevingsvereisten in uw SOC-werkruimte (Security Operations).
Microsoft Sentinel biedt toegang tot:
De tabel AzureActivity, die details bevat over alle acties die in Microsoft Sentinel worden uitgevoerd, zoals het bewerken van waarschuwingsregels. In de tabel AzureActivity worden geen specifieke querygegevens geregistreerd. Zie Controle met Azure activiteitenlogboeken voor meer informatie.
De tabel LAQueryLogs, die details bevat over de query's die worden uitgevoerd in Log Analytics, inclusief query's die worden uitgevoerd vanuit Microsoft Sentinel. Zie Controle met LAQueryLogs voor meer informatie.
Tip
Naast de handmatige query's die in dit artikel worden beschreven, raden we u aan de ingebouwde werkruimtecontrolewerkmap te gebruiken om de activiteiten in uw SOC-omgeving te controleren. Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel voor meer informatie.
Vereisten
Voordat u de voorbeeldquery's in dit artikel kunt uitvoeren, moet u relevante gegevens in uw Microsoft Sentinel werkruimte hebben om query's op uit te voeren en toegang te krijgen tot Microsoft Sentinel.
Zie Microsoft Sentinel inhoud en rollen en machtigingen configureren in Microsoft Sentinel voor meer informatie.
Controle met Azure-activiteitenlogboeken
de auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken, waar de tabel AzureActivity alle acties bevat die in uw Microsoft Sentinel werkruimte worden uitgevoerd.
Gebruik de tabel AzureActivity bij het controleren van activiteiten in uw SOC-omgeving met Microsoft Sentinel.
Ga als volgende te werk om een query uit te voeren op de tabel AzureActivity:
Installeer de oplossing Azure Activity voor Sentinel oplossing en verbind de Azure Activity-gegevensconnector om controlegebeurtenissen te streamen naar een nieuwe tabel met de naam
AzureActivity.Voer een query uit op de gegevens met behulp van Kusto-querytaal (KQL), net als bij elke andere tabel:
- Voer in de Azure Portal een query uit op deze tabel op de pagina Logboeken.
- Voer in de Defender-portal een query uit op deze tabel op de pagina Opsporing & antwoord > Opsporing >van geavanceerde opsporing .
De tabel AzureActivity bevat gegevens uit veel services, waaronder Microsoft Sentinel. Als u alleen gegevens uit Microsoft Sentinel wilt filteren, start u de query met de volgende code:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Als u bijvoorbeeld wilt weten wie de laatste gebruiker was die een bepaalde analyseregel heeft bewerkt, gebruikt u de volgende query (vervang door
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxde regel-id van de regel die u wilt controleren):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Voeg meer parameters toe aan uw query om de tabel AzureActivities verder te verkennen, afhankelijk van wat u moet rapporteren. De volgende secties bevatten andere voorbeeldquery's die u kunt gebruiken bij het controleren met AzureActivity-tabelgegevens .
Zie Microsoft Sentinel gegevens in Azure activiteitenlogboeken voor meer informatie.
Alle acties zoeken die door een specifieke gebruiker in de afgelopen 24 uur zijn uitgevoerd
De volgende AzureActivity-tabelquery bevat alle acties die in de afgelopen 24 uur door een specifieke Microsoft Entra gebruiker zijn uitgevoerd.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Alle verwijderbewerkingen zoeken
De volgende AzureActivity-tabelquery bevat alle verwijderbewerkingen die zijn uitgevoerd in uw Microsoft Sentinel werkruimte.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel gegevens in Azure-activiteitenlogboeken
de auditlogboeken van Microsoft Sentinel worden bijgehouden in de Azure-activiteitenlogboeken en bevatten de volgende soorten informatie:
| Bewerking | Informatietypen |
|---|---|
| Aangemaakt | Waarschuwingsregels Opmerkingen bij case Opmerkingen bij incidenten Opgeslagen zoekopdrachten Volglijsten Werkmappen |
| Verwijderd | Waarschuwingsregels Bladwijzers Gegevensconnectors Incidenten Opgeslagen zoekopdrachten Instellingen Rapporten over bedreigingsinformatie Volglijsten Werkmappen Workflow |
| Bijgewerkt | Waarschuwingsregels Bladwijzers Gevallen Gegevensconnectors Incidenten Opmerkingen bij incidenten Rapporten over bedreigingsinformatie Werkmappen Workflow |
U kunt ook de Azure activiteitenlogboeken gebruiken om te controleren op gebruikersautorisaties en licenties. De volgende tabel bevat bijvoorbeeld geselecteerde bewerkingen die zijn gevonden in Azure Activiteitenlogboeken met de specifieke resource waaruit de logboekgegevens worden opgehaald.
| Bewerkingsnaam | Resourcetype |
|---|---|
| Werkmap maken of bijwerken | Microsoft.Insights/workbooks |
| Werkmap verwijderen | Microsoft.Insights/workbooks |
| Werkstroom instellen | Microsoft.Logic/workflows |
| Werkstroom verwijderen | Microsoft.Logic/workflows |
| Opgeslagen zoekopdracht maken | Microsoft.OperationalInsights/workspaces/savedSearches |
| Opgeslagen zoekopdracht verwijderen | Microsoft.OperationalInsights/workspaces/savedSearches |
| Waarschuwingsregels bijwerken | Microsoft.SecurityInsights/alertRules |
| Waarschuwingsregels verwijderen | Microsoft.SecurityInsights/alertRules |
| Reactieacties voor waarschuwingsregel bijwerken | Microsoft.SecurityInsights/alertRules/actions |
| Reactieacties voor waarschuwingsregel verwijderen | Microsoft.SecurityInsights/alertRules/actions |
| Bladwijzers bijwerken | Microsoft.SecurityInsights/bookmarks |
| Bladwijzers verwijderen | Microsoft.SecurityInsights/bookmarks |
| Cases bijwerken | Microsoft.SecurityInsights/Cases |
| Case-onderzoek bijwerken | Microsoft.SecurityInsights/Cases/investigations |
| Caseopmerkingen maken | Microsoft.SecurityInsights/Cases/comments |
| Gegevensconnectors bijwerken | Microsoft.SecurityInsights/dataConnectors |
| Gegevensconnectors verwijderen | Microsoft.SecurityInsights/dataConnectors |
| Instellingen bijwerken | Microsoft.SecurityInsights/settings |
Zie gebeurtenisschema voor Azure activiteitenlogboek voor meer informatie.
Controle met LAQueryLogs
De tabel LAQueryLogs bevat details over logboekquery's die worden uitgevoerd in Log Analytics. Omdat Log Analytics wordt gebruikt als het onderliggende gegevensarchief van Microsoft Sentinel, kunt u uw systeem configureren voor het verzamelen van LAQueryLogs-gegevens in uw Microsoft Sentinel werkruimte.
LAQueryLogs-gegevens bevatten informatie zoals:
- Wanneer query's werden uitgevoerd
- Wie heeft query's uitgevoerd in Log Analytics
- Welk hulpprogramma is gebruikt om query's uit te voeren in Log Analytics, zoals Microsoft Sentinel
- De queryteksten zelf
- Prestatiegegevens voor elke queryuitvoering
Opmerking
De tabel LAQueryLogs bevat alleen query's die zijn uitgevoerd op de blade Logboeken van Microsoft Sentinel. Het bevat geen query's die worden uitgevoerd volgens geplande analyseregels, met behulp van de onderzoeksgrafiek, op de pagina Microsoft Sentinel Opsporing of op de pagina Geavanceerde opsporing van de Defender-portal.
Er kan een korte vertraging zijn tussen het moment waarop een query wordt uitgevoerd en de gegevens worden ingevuld in de tabel LAQueryLogs . We raden u aan ongeveer 5 minuten te wachten om een query uit te voeren op de laQueryLogs-tabel voor controlegegevens.
Ga als volgende te werk om een query uit te voeren op de laQueryLogs-tabel:
De tabel LAQueryLogs is niet standaard ingeschakeld in uw Log Analytics-werkruimte. Als u LAQueryLogs-gegevens wilt gebruiken bij het controleren in Microsoft Sentinel, schakelt u eerst de LAQueryLogs in het gebied Diagnostische instellingen van uw Log Analytics-werkruimte in.
Zie Query's controleren in Azure Logboeken controleren voor meer informatie.
Voer vervolgens een query uit op de gegevens met behulp van KQL, net zoals bij elke andere tabel.
De volgende query laat bijvoorbeeld zien hoeveel query's er in de afgelopen week zijn uitgevoerd, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
In de volgende secties ziet u meer voorbeeldquery's die u kunt uitvoeren in de tabel LAQueryLogs bij het controleren van activiteiten in uw SOC-omgeving met behulp van Microsoft Sentinel.
Het aantal uitgevoerde query's waarbij het antwoord niet 'OK' was
De volgende LAQueryLogs-tabelquery toont het aantal uitgevoerde query's, waarbij iets anders dan een HTTP-antwoord van 200 OK is ontvangen. Dit aantal bevat bijvoorbeeld query's die niet zijn uitgevoerd.
LAQueryLogs
| where ResponseCode != 200
| count
Gebruikers weergeven voor CPU-intensieve query's
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meest CPU-intensieve query's hebben uitgevoerd, op basis van de gebruikte CPU en de duur van de querytijd.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Gebruikers weergeven die de meeste query's hebben uitgevoerd in de afgelopen week
De volgende LAQueryLogs-tabelquery bevat de gebruikers die de meeste query's hebben uitgevoerd in de afgelopen week.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Waarschuwingen voor Microsoft Sentinel-activiteiten configureren
U kunt Microsoft Sentinel controleresources gebruiken om proactieve waarschuwingen te maken.
Als u bijvoorbeeld gevoelige tabellen in uw Microsoft Sentinel werkruimte hebt, gebruikt u de volgende query om u op de hoogte te stellen telkens wanneer er een query wordt uitgevoerd op deze tabellen:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Microsoft Sentinel bewaken met werkmappen, regels en playbooks
Gebruik de eigen functies van Microsoft Sentinel om gebeurtenissen en acties te bewaken die plaatsvinden binnen Microsoft Sentinel.
Bewaken met werkmappen. Met verschillende ingebouwde Microsoft Sentinel werkmappen kunt u de activiteit van de werkruimte bewaken, waaronder informatie over de gebruikers die in uw werkruimte werken, de analyseregels die worden gebruikt, de MITRE-tactieken die het meest worden gedekt, vastgelopen of gestopt, en soc-teamprestaties.
Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel en Veelgebruikte Microsoft Sentinel werkmappen voor meer informatie
Let op opnamevertraging. Als u zich zorgen maakt over opnamevertraging, stelt u een variabele in een analyseregel in om de vertraging aan te geven.
De volgende analyseregel kan bijvoorbeeld helpen om ervoor te zorgen dat de resultaten geen duplicaten bevatten en dat logboeken niet worden gemist bij het uitvoeren van de regels:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductZie De afhandeling van incidenten automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie.
Bewaak de status van de gegevensconnector met behulp van het playbook Connector Health Push Notification Solution om vastgelopen of gestopte opname te controleren en meldingen te verzenden wanneer een connector is gestopt met het verzamelen van gegevens of wanneer de rapportage van computers is gestopt.
Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:
- let-instructie
- where operator
- projectoperator
- operator aantal
- sorteeroperator
- operator uitbreiden
- join-operator
- operator samenvatten
- ago() functie
- ingestion_time() functie
- Aggregatiefunctie count()
- Aggregatiefunctie arg_max()
Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Volgende stap
Gebruik in Microsoft Sentinel de werkmap Werkruimtecontrole om de activiteiten in uw SOC-omgeving te controleren. Zie Uw gegevens visualiseren en bewaken voor meer informatie.