Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come visualizzare i dati di controllo per le query eseguite e le attività eseguite nell'area di lavoro Microsoft Sentinel, ad esempio per i requisiti di conformità interni ed esterni nell'area di lavoro Operazioni di sicurezza .
Microsoft Sentinel consente di accedere a:
La tabella AzureActivity, che fornisce informazioni dettagliate su tutte le azioni eseguite in Microsoft Sentinel, ad esempio la modifica delle regole di avviso. La tabella AzureActivity non registra dati di query specifici. Per altre informazioni, vedere Controllo con i log attività Azure.
La tabella LAQueryLogs, che fornisce informazioni dettagliate sulle query eseguite in Log Analytics, incluse le query eseguite da Microsoft Sentinel. Per altre informazioni, vedere Controllo con LAQueryLogs.
Consiglio
Oltre alle query manuali descritte in questo articolo, è consigliabile usare la cartella di lavoro di controllo dell'area di lavoro predefinita per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.
Prerequisiti
Prima di poter eseguire correttamente le query di esempio in questo articolo, è necessario disporre di dati pertinenti nell'area di lavoro Microsoft Sentinel per eseguire query e accedere a Microsoft Sentinel.
Per altre informazioni, vedere Configurare Microsoft Sentinel contenuto e ruoli e autorizzazioni in Microsoft Sentinel.
Controllo con i log attività Azure
I log di controllo di Microsoft Sentinel vengono gestiti nei log attività Azure, in cui la tabella AzureActivity include tutte le azioni eseguite nell'area di lavoro Microsoft Sentinel.
Usare la tabella AzureActivity quando si controlla l'attività nell'ambiente SOC con Microsoft Sentinel.
Per eseguire query sulla tabella AzureActivity:
Installare la soluzione attività Azure per Sentinel soluzione e connettere il connettore dati attività Azure per avviare lo streaming di eventi di controllo in una nuova tabella denominata
AzureActivity.Eseguire query sui dati usando Linguaggio di query Kusto (KQL), come qualsiasi altra tabella:
- Nella portale di Azure eseguire una query su questa tabella nella pagina Log.
- Nel portale di Defender eseguire una query su questa tabella nella pagina Ricerca >>avanzata ricerca ricerca & indagine.
La tabella AzureActivity include i dati di molti servizi, tra cui Microsoft Sentinel. Per filtrare solo i dati da Microsoft Sentinel, avviare la query con il codice seguente:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Ad esempio, per scoprire chi è stato l'ultimo utente a modificare una determinata regola di analisi, usare la query seguente (sostituendo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxcon l'ID regola della regola che si vuole controllare):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Aggiungere altri parametri alla query per esplorare ulteriormente la tabella AzureActivities , a seconda di ciò che è necessario segnalare. Le sezioni seguenti forniscono altre query di esempio da usare per il controllo con i dati della tabella AzureActivity .
Per altre informazioni, vedere Microsoft Sentinel dati inclusi nei log attività di Azure.
Trovare tutte le azioni eseguite da un utente specifico nelle ultime 24 ore
La query della tabella AzureActivity seguente elenca tutte le azioni eseguite da un utente Microsoft Entra specifico nelle ultime 24 ore.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Trovare tutte le operazioni di eliminazione
La query di tabella AzureActivity seguente elenca tutte le operazioni di eliminazione eseguite nell'area di lavoro Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Microsoft Sentinel dati inclusi nei log attività di Azure
I log di controllo di Microsoft Sentinel vengono gestiti nei log attività di Azure e includono i tipi di informazioni seguenti:
| Operazione | Tipi di informazioni |
|---|---|
| Creato | Regole di avviso Commenti del caso Commenti sugli eventi imprevisti Ricerche salvate Watchlist Cartelle |
| Eliminato | Regole di avviso Segnalibri Connettori dati Eventi imprevisti Ricerche salvate Impostazioni Report di Intelligence sulle minacce Watchlist Cartelle Flusso di lavoro |
| Aggiornato | Regole di avviso Segnalibri Casi Connettori dati Eventi imprevisti Commenti sugli eventi imprevisti Report di Intelligence sulle minacce Cartelle Flusso di lavoro |
È anche possibile usare i log attività Azure per verificare la disponibilità di autorizzazioni e licenze degli utenti. Ad esempio, nella tabella seguente sono elencate le operazioni selezionate trovate in Azure log attività con la risorsa specifica da cui vengono estratti i dati del log.
| Nome dell'operazione | Tipo di risorsa |
|---|---|
| Creare o aggiornare una cartella di lavoro | Microsoft.Insights/cartelle di lavoro |
| Eliminare una cartella di lavoro | Microsoft.Insights/cartelle di lavoro |
| Impostare il flusso di lavoro | Microsoft.Logic/workflows |
| Eliminare il flusso di lavoro | Microsoft.Logic/workflows |
| Creare una ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
| Eliminare la ricerca salvata | Microsoft.OperationalInsights/workspaces/savedSearches |
| Aggiornare le regole di avviso | Microsoft.SecurityInsights/alertRules |
| Eliminare le regole di avviso | Microsoft.SecurityInsights/alertRules |
| Aggiornare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
| Eliminare le azioni di risposta alle regole di avviso | Microsoft.SecurityInsights/alertRules/actions |
| Aggiornare i segnalibri | Microsoft.SecurityInsights/bookmarks |
| Eliminare i segnalibri | Microsoft.SecurityInsights/bookmarks |
| Casi di aggiornamento | Microsoft.SecurityInsights/Cases |
| Aggiornare l'analisi dei casi | Microsoft.SecurityInsights/Cases/investigations |
| Creare commenti case | Microsoft.SecurityInsights/Cases/comments |
| Aggiornare i connettori dati | Microsoft.SecurityInsights/dataConnectors |
| Eliminare i connettori dati | Microsoft.SecurityInsights/dataConnectors |
| Aggiorna impostazioni | Microsoft.SecurityInsights/settings |
Per altre informazioni, vedere Azure schema dell'evento del log attività.
Controllo con LAQueryLogs
La tabella LAQueryLogs fornisce informazioni dettagliate sulle query di log eseguite in Log Analytics. Poiché Log Analytics viene usato come archivio dati sottostante di Microsoft Sentinel, è possibile configurare il sistema per raccogliere i dati LAQueryLogs nell'area di lavoro Microsoft Sentinel.
I dati LAQueryLogs includono informazioni quali:
- Quando sono state eseguite query
- Chi ha eseguito query in Log Analytics
- Strumento usato per eseguire query in Log Analytics, ad esempio Microsoft Sentinel
- I testi della query stessi
- Dati sulle prestazioni in ogni esecuzione di query
Nota
La tabella LAQueryLogs include solo le query eseguite nel pannello Log di Microsoft Sentinel. Non include le query eseguite da regole di analisi pianificate, usando il grafico di analisi, nella pagina ricerca Microsoft Sentinel o nella pagina Ricerca avanzata del portale di Defender.
Può verificarsi un breve ritardo tra il momento in cui viene eseguita una query e i dati vengono popolati nella tabella LAQueryLogs . È consigliabile attendere circa 5 minuti per eseguire query sulla tabella LAQueryLogs per i dati di controllo.
Per eseguire query sulla tabella LAQueryLogs:
La tabella LAQueryLogs non è abilitata per impostazione predefinita nell'area di lavoro Log Analytics. Per usare i dati LAQueryLogs durante il controllo in Microsoft Sentinel, abilitare prima di tutto LAQueryLogs nell'area Impostazioni di diagnostica dell'area di lavoro Log Analytics.
Per altre informazioni, vedere Controllare le query nei log di monitoraggio Azure.
Eseguire quindi una query sui dati usando KQL, come qualsiasi altra tabella.
Ad esempio, la query seguente mostra il numero di query eseguite nell'ultima settimana, su base giornaliera:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Le sezioni seguenti illustrano altre query di esempio da eseguire nella tabella LAQueryLogs durante il controllo delle attività nell'ambiente SOC tramite Microsoft Sentinel.
Numero di query eseguite in cui la risposta non era "OK"
La query di tabella LAQueryLogs seguente mostra il numero di query eseguite, in cui è stata ricevuta una risposta HTTP diversa da 200 OK . Ad esempio, questo numero include query che non sono riuscite a eseguire.
LAQueryLogs
| where ResponseCode != 200
| count
Visualizzare gli utenti per le query a elevato utilizzo di CPU
La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito le query con maggiore utilizzo di CPU, in base alla CPU usata e alla durata della query.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Visualizzare gli utenti che hanno eseguito il maggior numero di query nell'ultima settimana
La query di tabella LAQueryLogs seguente elenca gli utenti che hanno eseguito il maggior numero di query nell'ultima settimana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurazione degli avvisi per le attività Microsoft Sentinel
È possibile usare Microsoft Sentinel risorse di controllo per creare avvisi proattivi.
Ad esempio, se nell'area di lavoro Microsoft Sentinel sono presenti tabelle sensibili, usare la query seguente per inviare una notifica ogni volta che vengono eseguite query su tali tabelle:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorare Microsoft Sentinel con cartelle di lavoro, regole e playbook
Usare le funzionalità di Microsoft Sentinel per monitorare gli eventi e le azioni che si verificano all'interno di Microsoft Sentinel.
Monitorare con cartelle di lavoro. Diverse cartelle di lavoro Microsoft Sentinel predefinite consentono di monitorare le attività dell'area di lavoro, incluse informazioni sugli utenti che lavorano nell'area di lavoro, le regole di analisi usate, le tattiche MITRE più coperte, bloccate o arrestate e le prestazioni del team SOC.
Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel e Cartelle di lavoro di Microsoft Sentinel di uso comune
Controllare il ritardo di inserimento. In caso di problemi relativi al ritardo di inserimento, impostare una variabile in una regola di analisi per rappresentare il ritardo.
Ad esempio, la regola di analisi seguente consente di garantire che i risultati non includano duplicati e che i log non vengano persi durante l'esecuzione delle regole:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPer altre informazioni, vedere Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione.
Monitorare l'integrità del connettore dati usando il playbook della soluzione di notifica push di integrità del connettore per verificare se l'inserimento è stato arrestato o arrestato e inviare notifiche quando un connettore ha smesso di raccogliere dati o i computer hanno interrotto la creazione di report.
Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:
- istruzione let
- operatore where
- operatore di progetto
- Operatore count
- operatore sort
- operatore extend
- operatore join
- operatore summarize
- funzione ago()
- funzione ingestion_time()
- Funzione di aggregazione count()
- funzione di aggregazione arg_max()
Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).
Altre risorse:
Passaggio successivo
In Microsoft Sentinel usare la cartella di lavoro di controllo dell'area di lavoro per controllare le attività nell'ambiente SOC. Per altre informazioni, vedere Visualizzare e monitorare i dati.