Auditar consultas e atividades do Microsoft Sentinel
Este artigo descreve como exibir dados de auditoria para execução de consultas e atividades realizadas no espaço de trabalho do Microsoft Sentinel; por exemplo, para requisitos de conformidade internos e externos no espaço de trabalho SOC (Centro de Operações de Segurança).
O Microsoft Sentinel concede acesso à:
Tabela AzureActivity, que fornece detalhes sobre todas as ações executadas no Microsoft Sentinel, como edição de regras de alerta. A tabela AzureActivity não registra dados de consulta específicos. Para obter mais informações, confira Auditoria com logs de atividades do Azure.
Tabela LAQueryLogs, que fornece detalhes sobre as consultas executadas no Log Analytics, como as do Microsoft Sentinel. Para obter mais informações, confira Auditoria com LAQueryLogs.
Dica
Além das consultas manuais descritas neste artigo, o Microsoft Sentinel fornece uma pasta de trabalho interna para ajudar você a auditar as atividades no ambiente SOC.
Na área Pastas de Trabalho do Microsoft Sentinel, procure a pasta de trabalho Auditoria do espaço de trabalho.
Auditoria com logs de Atividade do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividade do Azure, em que a tabela AzureActivity inclui todas as ações executadas no espaço de trabalho do Microsoft Sentinel.
Você pode usar a tabela AzureActivity quando auditar atividades no ambiente SOC com o Microsoft Sentinel.
Para consultar a tabela AzureActivity:
Conecte a fonte de dados Atividade do Azure para iniciar o streaming de eventos de auditoria em uma nova tabela na tela Logs chamada AzureActivity.
Em seguida, consulte os dados usando KQL, como faria com qualquer outra tabela.
A tabela AzureActivity inclui dados de vários serviços, como o Microsoft Sentinel. Para filtrar somente dados do Microsoft Sentinel, inicie a consulta com o seguinte código:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Por exemplo, para descobrir quem foi o último usuário a editar uma determinada regra de análise, use a seguinte consulta (substituindo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxpelo ID da regra que você deseja verificar):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Adicione mais parâmetros à sua consulta para explorar ainda mais a tabela AzureActivities, dependendo do que você precisa relatar. As seções a seguir fornecem outras consultas de exemplo a serem usadas durante a auditoria com os dados da tabela AzureActivity.
Para obter mais informações, consulte Dados do Microsoft Sentinel incluídos em logs de Atividade do Azure.
Localizar todas as ações executadas por um determinado usuário nas últimas 24 horas
A consulta da tabela AzureActivity a seguir lista todas as ações executadas por um determinado usuário do Microsoft Entra nas últimas 24 horas.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Localizar todas as operações de exclusão
A consulta da tabela AzureActivity a seguir lista todas as operações de exclusão executadas no espaço de trabalho do Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dados do Microsoft Sentinel incluídos em logs de Atividade do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividade do Azuree incluem os seguintes tipos de informações:
| Operação | Tipos de informações |
|---|---|
| Criado | Regras de alerta Comentários de casos Comentários de incidentes Pesquisas salvas Watchlists Pastas de trabalho |
| Excluída | Regras de alerta Indicadores Conectores de dados Incidentes Pesquisas salvas Configurações Relatórios de inteligência contra ameaças Watchlists Pastas de trabalho Workflow |
| Updated | Regras de alerta Indicadores Casos Conectores de dados Incidentes Comentários de incidentes Relatórios de inteligência contra ameaças Pastas de trabalho Workflow |
Também é possível usar os logs de Atividade do Azure para verificar autorizações e licenças de usuário.
Por exemplo, a tabela a seguir lista operações selecionadas encontradas em logs de Atividade do Azure com o recurso específico do qual os dados de log são extraídos.
| Nome da operação | Tipo de recurso |
|---|---|
| Criar ou atualizar pasta de trabalho | Microsoft.Insights/workbooks |
| Excluir pasta de trabalho | Microsoft.Insights/workbooks |
| Definir fluxo de trabalho | Microsoft.Logic/workflows |
| Excluir fluxo de trabalho | Microsoft.Logic/workflows |
| Criar pesquisa salva | Microsoft.OperationalInsights/workspaces/savedSearches |
| Excluir pesquisa salva | Microsoft.OperationalInsights/workspaces/savedSearches |
| Atualizar regras de alerta | Microsoft.SecurityInsights/alertRules |
| Excluir regras de alerta | Microsoft.SecurityInsights/alertRules |
| Atualizar ações de resposta a regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Excluir ações de resposta a regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Atualizar indicadores | Microsoft.SecurityInsights/bookmarks |
| Excluir indicadores | Microsoft.SecurityInsights/bookmarks |
| Atualizar casos | Microsoft.SecurityInsights/Cases |
| Atualizar investigação de casos | Microsoft.SecurityInsights/Cases/investigations |
| Criar comentários de casos | Microsoft.SecurityInsights/Cases/comments |
| Atualizar conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Excluir conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Configurações de atualização | Microsoft.SecurityInsights/settings |
Para obter mais informações, confira Esquema de eventos de Log de Atividades do Azure.
Auditoria com LAQueryLogs
A tabela LAQueryLogs fornece detalhes sobre consultas de log executadas no Log Analytics. Como Log Analytics é usado como armazenamento de dados básico do Microsoft Sentinel, configure o sistema para coletar dados de LAQueryLogs no espaço de trabalho do Microsoft Sentinel.
Os dados de LAQueryLogs incluem informações como:
- Quando as consultas foram executadas
- Quem executou as consultas no Log Analytics
- Qual ferramenta foi usada para executar as consultas no Log Analytics, como o Microsoft Sentinel
- Os próprios textos de consulta
- Dados de desempenho em cada execução de consulta
Observação
- A tabela LAQueryLogs inclui somente consultas que foram executadas na folha Logs do Microsoft Sentinel. Ela não inclui as consultas executadas por regras de análise agendadas, usando o Grafo de Investigação ou na página Busca do Microsoft Sentinel.
- Pode haver um pequeno atraso entre o momento em que uma consulta é executada e que os dados são preenchidos na tabela LAQueryLogs. É recomendável aguardar cerca de 5 minutos para consultar a tabela LAQueryLogs sobre dados de auditoria.
Para consultar a tabela LAQueryLogs:
A tabela LAQueryLogs não fica habilitada por padrão no espaço de trabalho do Log Analytics. Para usar dados de LAQueryLogs ao auditar no Microsoft Sentinel, primeiro habilite LAQueryLogs na área Configurações de diagnóstico do espaço de trabalho do Log Analytics.
Para obter mais informações, consulte Auditar consultas em logs do Azure Monitor.
Em seguida, consulte os dados usando KQL, como faria com qualquer outra tabela.
Por exemplo, a consulta a seguir mostra quantas consultas foram executadas diariamente na última semana:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
As seções a seguir mostram mais consultas de exemplo a serem executadas na tabela LAQueryLogs ao auditar atividades no ambiente SOC usando o Microsoft Sentinel.
O número de consultas executadas em que a resposta não foi "OK"
A consulta da tabela LAQueryLogs a seguir mostra o número de consultas executadas em que foi recebido algo diferente de uma resposta HTTP igual a 200 OK. Por exemplo, esse número incluirá consultas que falharam na execução.
LAQueryLogs
| where ResponseCode != 200
| count
Mostrar usuários de consultas com uso intensivo de CPU
A consulta da tabela LAQueryLogs a seguir lista os usuários que executaram consultas com uso intensivo de CPU, com base na CPU usada e na duração da consulta.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Mostrar usuários que executaram a maioria das consultas na última semana
A consulta da tabela LAQueryLogs a seguir lista os usuários que executaram a maioria das consultas na última semana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurando alertas para atividades do Microsoft Sentinel
Talvez você queira usar os recursos de auditoria do Microsoft Sentinel para criar alertas proativos.
Por exemplo, se você tiver tabelas confidenciais no espaço de trabalho do Microsoft Sentinel, use a consulta a seguir para receber notificações toda vez que essas tabelas forem consultadas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitorar o Microsoft Sentinel com pastas de trabalho, regras e guias estratégicos
Use os próprios recursos do Microsoft Sentinel para monitorar eventos e ações que ocorrem no Microsoft Sentinel.
Monitorar com pastas de trabalho. As seguintes pastas de trabalho foram criadas para monitorar a atividade do espaço de trabalho:
- Auditoria de espaço de trabalho. Inclui informações sobre quais usuários no ambiente estão executando ações, quais ações foram executadas e muito mais.
- Eficiência da análise. Fornece informações sobre quais regras de análise estão sendo usadas, quais táticas de MITRE são mais cobertas e incidentes gerados por meio das regras.
- Eficiência das Operações de Segurança. Apresenta métricas sobre o desempenho da equipe do SOC, incidentes abertos, incidentes fechados e muito mais. Essa pasta de trabalho pode ser usada para mostrar o desempenho da equipe e realçar quaisquer áreas que possam estar faltando e que exijam atenção.
- Monitoramento de integridade da coleta de dados. Ajuda a observar ingestões interrompidas ou paradas.
Para saber mais, confira Pastas de trabalho do Microsoft Sentinel usadas com frequência.
Observe o atraso de ingestão. Se você tiver dúvidas sobre o atraso da ingestão, defina uma variável em uma regra de análise para representar o atraso.
Por exemplo, a regra de análise a seguir pode ajudar a garantir que os resultados não incluam duplicatas e que os logs não se percam ao executar as regras:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPara saber mais, confira Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação.
Monitore a integridade do conector de dados usando o guia estratégico Solução de notificação por push de integridade do conector para ficar atento à parada ou à interrupção de ingestão e enviar notificações quando um conector tiver parado de coletar dados ou se os computadores tiverem interrompido o relatório.
Próximas etapas
No Microsoft Sentinel, use a pasta de trabalho Auditoria do espaço de trabalho para auditar as atividades no ambiente SOC.
Para saber mais, confira Visualizar e monitorar seus dados.