Mengaudit kueri dan aktivitas Microsoft Azure Sentinel
Artikel ini menjelaskan bagaimana Anda dapat melihat data audit untuk kueri yang dijalankan dan aktivitas yang dilakukan di ruang kerja Microsoft Azure Sentinel Anda, seperti untuk persyaratan kepatuhan internal dan eksternal di ruang kerja Operasi Keamanan (SOC) Anda.
Microsoft Sentinel menyediakan akses ke:
Tabel AzureActivity, yang memberikan rincian tentang semua tindakan yang diambil di Microsoft Azure Sentinel, seperti mengedit aturan peringatan. Tabel AzureActivity tidak mencatat data kueri tertentu. Untuk informasi selengkapnya, lihat Mengaudit dengan log Azure Activity.
Tabel LAQueryLogs, yang memberikan rincian tentang kueri yang dijalankan di Analitik Log, termasuk kueri yang dijalankan dari Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengaudit dengan LAQueryLogs.
Tip
Selain kueri manual yang dijelaskan dalam artikel ini, kami sarankan Anda menggunakan buku kerja audit Ruang Kerja bawaan membantu Anda mengaudit aktivitas di lingkungan SOC Anda. Untuk informasi selengkapnya, lihat Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel.
Prasyarat
Sebelum berhasil menjalankan kueri sampel dalam artikel ini, Anda harus memiliki data yang relevan di ruang kerja Microsoft Azure Sentinel untuk mengkueri dan mengakses Microsoft Azure Sentinel.
Untuk informasi selengkapnya, lihat Mengonfigurasi konten dan Peran dan izin Microsoft Azure Sentinel di Microsoft Azure Sentinel.
Mengaudit dengan log Aktivitas Azure
Log audit Microsoft Azure Sentinel disimpan di Log Aktivitas Azuredi mana tabel AzureActivity mencakup semua tindakan yang diambil di ruang kerja Microsoft Azure Sentinel Anda.
Gunakan tabel AzureActivity saat mengaudit aktivitas di lingkungan SOC Anda dengan Microsoft Sentinel.
Untuk membuat kueri tabel AzureActivity:
Instal solusi Aktivitas Azure untuk solusi Sentinel dan sambungkan konektor data Aktivitas Azure untuk memulai peristiwa audit streaming ke dalam tabel baru yang disebut
AzureActivity.Kueri data menggunakan Bahasa Kueri Kusto (KQL), seperti tabel lainnya:
- Di portal Azure, kueri tabel ini di halaman Log.
- Di portal Defender, kueri tabel ini di halaman Perburuan >Tingkat Lanjut Investigasi & respons.>
Tabel AzureActivity mencakup data dari banyak layanan, termasuk Microsoft Azure Sentinel. Untuk memfilter hanya data dari Microsoft Azure Sentinel, mulai kueri Anda dengan kode berikut:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Misalnya, untuk mengetahui siapa pengguna terakhir yang mengedit aturan analitik tertentu, gunakan kueri berikut (mengganti
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxdengan ID aturan dari aturan yang ingin Anda periksa):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Tambahkan lebih banyak parameter ke kueri Anda untuk menjelajahi tabel AzureActivities lebih lanjut, bergantung pada apa yang perlu Anda laporkan. Bagian berikut ini menyediakan kueri sampel lain untuk digunakan saat mengaudit data tabel AzureActivity.
Untuk informasi selengkapnya, lihat data Microsoft Azure Sentinel yang disertakan dalam log Aktivitas Azure.
Temukan semua tindakan yang diambil oleh pengguna tertentu dalam 24 jam terakhir
Kueri tabel AzureActivity berikut mencantumkan semua tindakan yang diambil oleh pengguna Microsoft Entra tertentu dalam 24 jam terakhir.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Temukan semua operasi penghapusan
Kueri tabel AzureActivity berikut mencantumkan semua operasi penghapusan yang dilakukan di ruang kerja Microsoft Azure Sentinel Anda.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Data Microsoft Azure Sentinel disertakan dalam log Aktivitas Azure
Log audit Microsoft Azure Sentinel disimpan dalam Log Aktivitas Azure, dan menyertakan jenis informasi berikut:
| Operasi | Jenis informasi |
|---|---|
| Dibuat | Aturan pemberitahuan Komentar kasus Komentar insiden Pencarian tersimpan Daftar pengawasan Buku kerja |
| Dihapus | Aturan pemberitahuan Bookmark Konektor data Insiden Pencarian tersimpan Pengaturan Laporan inteligensi ancaman Daftar pengawasan Workbook Alur kerja |
| Diperbarui | Aturan peringatan Bookmark Kasus Konektor data Insiden Komentar insiden Laporan inteligensi ancaman Workbook Alur kerja |
Anda juga dapat menggunakan log Aktivitas Azure untuk memeriksa otorisasi dan lisensi pengguna. Misalnya, tabel berikut ini mencantumkan operasi yang dipilih yang ditemukan di log Aktivitas Azure dengan sumber daya tertentu tempat data log ditarik.
| Nama operasi | Jenis Sumber Daya |
|---|---|
| Buat atau perbarui buku kerja | Microsoft.Insights/workbooks |
| Hapus buku kerja | Microsoft.Insights/workbooks |
| Set alur kerja | Microsoft.Logic/workflows |
| Hapus alur kerja | Microsoft.Logic/workflows |
| Membuat pencarian tersimpan | Microsoft.OperationalInsights/workspaces/savedSearches |
| Hapus pencarian tersimpan | Microsoft.OperationalInsights/workspaces/savedSearches |
| Perbarui aturan pemberitahuan | Microsoft.SecurityInsights/alertRules |
| Hapus aturan pemberitahuan | Microsoft.SecurityInsights/alertRules |
| Perbarui tindakan respons aturan pemberitahuan | Microsoft.SecurityInsights/alertRules/actions |
| Hapus tindakan respons aturan pemberitahuan | Microsoft.SecurityInsights/alertRules/actions |
| Perbarui marka buku | Microsoft.SecurityInsights/bookmarks |
| Hapus marka buku | Microsoft.SecurityInsights/bookmarks |
| Perbarui kasus | Microsoft.SecurityInsights/Cases |
| Perbarui penyelidikan kasus | Microsoft.SecurityInsights/Cases/investigations |
| Buat komentar kasus | Microsoft.SecurityInsights/Cases/comments |
| Perbarui konektor data | Microsoft.SecurityInsights/dataConnectors |
| Hapus konektor data | Microsoft.SecurityInsights/dataConnectors |
| Perbarui pengaturan | Microsoft.SecurityInsights/settings |
Untuk informasi selengkapnya, lihat Skema peristiwa Log Aktivitas Azure.
Mengaudit dengan LAQueryLogs
Tabel LAQueryLogs menyediakan detail tentang kueri log yang dijalankan di Log Analytics. Karena Analitik Log digunakan sebagai penyimpan data Microsoft Azure Sentinel, Anda dapat mengonfigurasi sistem anda untuk mengumpulkan data LAQueryLogs di ruang kerja Microsoft Azure Sentinel Anda.
Data LAQueryLogs mencakup informasi seperti:
- Kapan kueri dijalankan
- Siapa yang menjalankan kueri di Log Analytics
- Alat apa yang digunakan untuk menjalankan kueri di Analitik Log, seperti Microsoft Azure Sentinel
- Teks kueri itu sendiri
- Data performa pada setiap kueri berjalan
Catatan
Tabel LAQueryLogs hanya mencakup kueri yang telah dijalankan di bilah Log Microsoft Azure Sentinel. Ini tidak termasuk kueri yang dijalankan oleh aturan analitik terjadwal, menggunakan Grafik Investigasi, di halaman Perburuan Microsoft Sentinel, atau di halaman perburuan Tingkat Lanjut portal Defender.
Mungkin ada penundaan singkat antara waktu kueri dijalankan dan data diisi dalam tabel LAQueryLogs. Sebaiknya tunggu sekitar 5 menit untuk membuat kueri tabel LAQueryLogs untuk data audit.
Untuk membuat kueri tabel LAQueryLogs:
Tabel LAQueryLogs tidak diaktifkan secara default di ruang kerja Log Analytics Anda. Untuk menggunakan data LAQueryLogs saat mengaudit di Microsoft Azure Sentinel, aktifkan terlebih dahulu LAQueryLogs di area pengaturan Diagnostik ruang kerja Analitik Log Anda.
Untuk informasi selengkapnya, lihat Audit kueri di log Azure Monitor.
Kemudian, buat kueri data menggunakan KQL, seperti yang Anda lakukan pada tabel lainnya.
Misalnya, kueri berikut ini memperlihatkan berapa banyak kueri yang dijalankan dalam seminggu terakhir, per hari:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Bagian berikut menunjukkan lebih banyak kueri sampel untuk dijalankan di tabel LAQueryLogs saat mengaudit aktivitas di lingkungan SOC Anda menggunakan Microsoft Azure Sentinel.
Jumlah kueri yang berjalan di mana respons tidak "OK"
Kueri tabel LAQueryLogs berikut ini memperlihatkan jumlah kueri yang dijalankan, di mana apa pun selain respons HTTP 200 OK diterima. Misalnya, angka ini mencakup kueri yang gagal dijalankan.
LAQueryLogs
| where ResponseCode != 200
| count
Perlihatkan pengguna untuk kueri intensif CPU
Kueri tabel LAQueryLogs berikut ini mencantumkan pengguna yang menjalankan kueri paling intensif CPU, berdasarkan CPU yang digunakan dan durasi waktu kueri.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| sort by QueryRunTime desc
Perlihatkan pengguna yang menjalankan kueri terbanyak dalam seminggu terakhir
Kueri tabel LAQueryLogs berikut ini mencantumkan pengguna yang menjalankan kueri terbanyak dalam seminggu terakhir.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Mengonfigurasi pemberitahuan untuk aktivitas Microsoft Azure Sentinel
Anda mungkin ingin menggunakan sumber daya audit Microsoft Sentinel untuk membuat pemberitahuan proaktif.
Misalnya, jika Anda memiliki tabel sensitif di ruang kerja Microsoft Azure Sentinel Anda, gunakan kueri berikut untuk memberi tahu Anda setiap kali tabel tersebut diminta:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Pantau Microsoft Azure Sentinel dengan buku kerja, aturan, dan playbook
Gunakan fitur dari Microsoft Azure Sentinel untuk memantau peristiwa dan tindakan yang terjadi di dalam Microsoft Azure Sentinel.
Memantau dengan buku kerja. Beberapa buku kerja Microsoft Azure Sentinel bawaan dapat membantu Anda memantau aktivitas ruang kerja, termasuk informasi tentang pengguna yang bekerja di ruang kerja Anda, aturan analitik yang digunakan, taktik MITRE yang paling tercakup, terhenti, atau dihentikan penyerapannya, dan performa tim SOC.
Untuk informasi selengkapnya, lihat Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel dan Buku kerja Microsoft Azure Sentinel yang umum digunakan
Perhatikan penundaan penyerapan. Jika Anda memiliki keraguan tentang penundaan penyerapan, tentukan variabel dalam aturan analitik untuk mewakili penundaan.
Misalnya, aturan analitik berikut dapat membantu memastikan agar hasil tidak menyertakan duplikat, dan log tersebut tidak terlewatkan saat menjalankan aturan:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductUntuk informasi selengkapnya, lihat Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel dengan aturan otomatisasi.
Pantau kondisi konektor data menggunakan Solusi Pemberitahuan Push Kondisi Konektor playbook untuk mengawasi penyerapan yang tertunda atau dihentikan, dan kirim pemberitahuan saat konektor berhenti mengumpulkan data atau mesin berhenti melapor.
Lihat informasi selengkapnya tentang item berikut yang digunakan dalam contoh sebelumnya, dalam dokumentasi Kusto:
- pernyataan let
- operator di mana
- operator proyek
- operator hitung
- operator sortir
- operator perluas
- operator gabungan
- operator ringkas
- ago() fungsi
- fungsi ingestion_time()
- fungsi agregasi count()
- fungsi agregasi arg_max()
Untuk informasi selengkapnya tentang KQL, lihat gambaran umum Bahasa Kueri Kusto (KQL).
Sumber daya lainnya:
Langkah selanjutnya
Di Microsoft Azure Sentinel, gunakan buku kerja Audit ruang kerja untuk mengaudit aktivitas di lingkungan SOC Anda. Untuk informasi selengkapnya, lihat Gambarkan dan Pantau data Anda.