Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du kan visa granskningsdata för frågor som körs och aktiviteter som utförs på din Microsoft Sentinel arbetsyta, till exempel för interna och externa efterlevnadskrav på din SOC-arbetsyta (Security Operations).
Microsoft Sentinel ger åtkomst till:
Tabellen AzureActivity, som innehåller information om alla åtgärder som vidtas i Microsoft Sentinel, till exempel redigering av aviseringsregler. AzureActivity-tabellen loggar inte specifika frågedata. Mer information finns i Granskning med Azure aktivitetsloggar.
LaQueryLogs-tabellen, som innehåller information om de frågor som körs i Log Analytics, inklusive frågor som körs från Microsoft Sentinel. Mer information finns i Granskning med LAQueryLogs.
Tips
Förutom de manuella frågor som beskrivs i den här artikeln rekommenderar vi att du använder den inbyggda arbetsytans granskningsarbetsbok som hjälper dig att granska aktiviteterna i SOC-miljön. Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Förhandskrav
Innan du kan köra exempelfrågorna i den här artikeln måste du ha relevanta data på din Microsoft Sentinel arbetsyta för att fråga efter och få åtkomst till Microsoft Sentinel.
Mer information finns i Konfigurera Microsoft Sentinel innehåll och roller och behörigheter i Microsoft Sentinel.
Granskning med Azure aktivitetsloggar
Microsoft Sentinel granskningsloggar underhålls i Azure aktivitetsloggar, där Tabellen AzureActivity innehåller alla åtgärder som vidtas på din Microsoft Sentinel arbetsyta.
Använd AzureActivity-tabellen vid granskning av aktivitet i SOC-miljön med Microsoft Sentinel.
Så här frågar du azureactivity-tabellen:
Installera Azure activity-lösningen för Sentinel lösning och anslut dataanslutningsappen Azure Activity för att starta strömmande granskningshändelser till en ny tabell med namnet
AzureActivity.Fråga efter data med hjälp av Kusto-frågespråk (KQL), precis som med andra tabeller:
- I Azure Portal frågar du den här tabellen på sidan Loggar.
- I Defender-portalen frågar du den här tabellen på sidan Undersökning & jakt >>avancerad jakt .
Tabellen AzureActivity innehåller data från många tjänster, inklusive Microsoft Sentinel. Om du bara vill filtrera in data från Microsoft Sentinel startar du frågan med följande kod:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Om du till exempel vill ta reda på vem som var den sista användaren som redigerade en viss analysregel använder du följande fråga (ersätt
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxmed regel-ID:t för den regel som du vill kontrollera):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Lägg till fler parametrar i frågan för att utforska tabellen AzureActivities ytterligare, beroende på vad du behöver rapportera. Följande avsnitt innehåller andra exempelfrågor som ska användas vid granskning med AzureActivity-tabelldata .
Mer information finns i Microsoft Sentinel data som ingår i Azure aktivitetsloggar.
Hitta alla åtgärder som vidtagits av en viss användare under de senaste 24 timmarna
Följande AzureActivity-tabellfråga visar alla åtgärder som vidtagits av en viss Microsoft Entra användare under de senaste 24 timmarna.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Hitta alla borttagningsåtgärder
I följande AzureActivity-tabellfråga visas alla borttagningsåtgärder som utförs på din Microsoft Sentinel arbetsyta.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel data som ingår i Azure aktivitetsloggar
Microsoft Sentinel granskningsloggar underhålls i Azure aktivitetsloggar och innehåller följande typer av information:
| Åtgärd | Informationstyper |
|---|---|
| Skapad | Aviseringsregler Ärendekommentar Incidentkommentarer Sparade sökningar Visningslistor Arbetsböcker |
| Borttagen | Aviseringsregler Bokmärken Datakopplingar Incidenter Sparade sökningar Inställningar Hotinformationsrapporter Visningslistor Arbetsböcker Arbetsflöde |
| Uppdaterad | Aviseringsregler Bokmärken Fall Datakopplingar Incidenter Incidentkommentarer Hotinformationsrapporter Arbetsböcker Arbetsflöde |
Du kan också använda Azure aktivitetsloggar för att söka efter användarauktoriseringar och licenser. I följande tabell visas till exempel valda åtgärder som finns i Azure aktivitetsloggar med den specifika resurs som loggdata hämtas från.
| Åtgärdsnamn | Resurstyp |
|---|---|
| Skapa eller uppdatera arbetsbok | Microsoft.Insights/arbetsböcker |
| Ta bort arbetsbok | Microsoft.Insights/arbetsböcker |
| Ange arbetsflöde | Microsoft.Logic/workflows |
| Ta bort arbetsflöde | Microsoft.Logic/workflows |
| Skapa sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Ta bort sparad sökning | Microsoft.OperationalInsights/workspaces/savedSearches |
| Uppdatera aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Ta bort aviseringsregler | Microsoft.SecurityInsights/alertRules |
| Uppdatera svarsåtgärder för aviseringsregler | Microsoft.SecurityInsights/alertRules/actions |
| Ta bort svarsåtgärder för aviseringsregler | Microsoft.SecurityInsights/alertRules/actions |
| Uppdatera bokmärken | Microsoft.SecurityInsights/bokmärken |
| Ta bort bokmärken | Microsoft.SecurityInsights/bokmärken |
| Uppdateringsfall | Microsoft.SecurityInsights/Cases |
| Uppdatera ärendeundersökning | Microsoft.SecurityInsights/Cases/investigations |
| Skapa ärendekommentarer | Microsoft.SecurityInsights/Cases/comments |
| Uppdatera dataanslutningsprogram | Microsoft.SecurityInsights/dataConnectors |
| Ta bort dataanslutningar | Microsoft.SecurityInsights/dataConnectors |
| Uppdateringsinställningar | Microsoft.SecurityInsights/settings |
Mer information finns i händelseschemat Azure aktivitetslogg.
Granskning med LAQueryLogs
LaQueryLogs-tabellen innehåller information om loggfrågor som körs i Log Analytics. Eftersom Log Analytics används som Microsoft Sentinel underliggande datalager kan du konfigurera systemet för att samla in LAQueryLogs-data på din Microsoft Sentinel arbetsyta.
LAQueryLogs-data innehåller information som:
- När frågor kördes
- Vem körde frågor i Log Analytics
- Vilket verktyg som användes för att köra frågor i Log Analytics, till exempel Microsoft Sentinel
- Själva frågetexterna
- Prestandadata för varje frågekörning
Obs!
Tabellen LAQueryLogs innehåller bara frågor som har körts på bladet Loggar i Microsoft Sentinel. Den innehåller inte de frågor som körs av schemalagda analysregler, med hjälp av undersökningsdiagrammet, på sidan Microsoft Sentinel jakt eller på sidan Avancerad jakt i Defender-portalen.
Det kan uppstå en kort fördröjning mellan den tid då en fråga körs och data fylls i i tabellen LAQueryLogs . Vi rekommenderar att du väntar ungefär 5 minuter för att fråga laQueryLogs-tabellen efter granskningsdata .
Så här frågar du tabellen LAQueryLogs:
LaQueryLogs-tabellen är inte aktiverad som standard på Log Analytics-arbetsytan. Om du vill använda LAQueryLogs-data vid granskning i Microsoft Sentinel aktiverar du först LAQueryLogs i Log Analytics-arbetsytans område Diagnostikinställningar.
Mer information finns i Granska frågor i Azure Övervaka loggar.
Kör sedan frågor mot data med hjälp av KQL, precis som med andra tabeller.
Följande fråga visar till exempel hur många frågor som kördes under den senaste veckan, per dag:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
I följande avsnitt visas fler exempelfrågor som ska köras i tabellen LAQueryLogs när du granskar aktiviteter i SOC-miljön med hjälp av Microsoft Sentinel.
Antalet frågor som körs där svaret inte var "OK"
Följande LAQueryLogs-tabellfråga visar antalet frågor som körs, där något annat än ett HTTP-svar på 200 OK togs emot. Till exempel innehåller det här numret frågor som inte kunde köras.
LAQueryLogs
| where ResponseCode != 200
| count
Visa användare för CPU-intensiva frågor
I följande LAQueryLogs-tabellfråga visas de användare som körde de mest CPU-intensiva frågorna, baserat på processoranvändning och frågetidens längd.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Visa användare som har kört flest frågor den senaste veckan
Följande LAQueryLogs-tabellfråga visar de användare som har kört flest frågor under den senaste veckan.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Konfigurera aviseringar för Microsoft Sentinel aktiviteter
Du kanske vill använda Microsoft Sentinel granskningsresurser för att skapa proaktiva aviseringar.
Om du till exempel har känsliga tabeller i din Microsoft Sentinel arbetsyta använder du följande fråga för att meddela dig varje gång tabellerna efterfrågas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Övervaka Microsoft Sentinel med arbetsböcker, regler och spelböcker
Använd Microsoft Sentinel egna funktioner för att övervaka händelser och åtgärder som inträffar inom Microsoft Sentinel.
Övervaka med arbetsböcker. Flera inbyggda Microsoft Sentinel arbetsböcker kan hjälpa dig att övervaka arbetsyteaktivitet, inklusive information om de användare som arbetar på din arbetsyta, de analysregler som används, de MITRE-taktiker som omfattas mest, fördröjda eller stoppade inmatningar och SOC-teamets prestanda.
Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel och vanliga Microsoft Sentinel arbetsböcker
Håll utkik efter inmatningsfördröjning. Om du har problem med inmatningsfördröjning anger du en variabel i en analysregel som representerar fördröjningen.
Följande analysregel kan till exempel hjälpa dig att se till att resultaten inte innehåller dubbletter och att loggarna inte missas när du kör reglerna:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductMer information finns i Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler.
Övervaka hälsotillståndet för dataanslutningsappen med hjälp av spelboken För push-meddelandelösning för anslutningsprogram för att hålla utkik efter stoppad eller stoppad inmatning och skicka meddelanden när en anslutningsapp har slutat samla in data eller datorer har slutat rapportera.
Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:
- let-instruktion
- where-operator
- projektoperator
- count-operator
- sorteringsoperator
- extend-operatorn
- kopplingsoperator
- summarize-operator
- ago()-funktion
- funktionen ingestion_time()
- sammansättningsfunktion för count()
- aggregeringsfunktionen arg_max()
Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).
Andra resurser:
Nästa steg
I Microsoft Sentinel använder du arbetsytans granskningsarbetsbok för att granska aktiviteterna i SOC-miljön. Mer information finns i Visualisera och övervaka dina data.