Auditar consultas e atividades do Microsoft Sentinel
Este artigo descreve como você pode exibir dados de auditoria para consultas executadas e atividades executadas em seu espaço de trabalho do Microsoft Sentinel, como para requisitos de conformidade internos e externos em seu espaço de trabalho de operações de segurança (SOC).
O Microsoft Sentinel fornece acesso a:
A tabela AzureActivity , que fornece detalhes sobre todas as ações executadas no Microsoft Sentinel, como editar regras de alerta. A tabela AzureActivity não registra dados de consulta específicos. Para obter mais informações, consulte Auditoria com logs de atividade do Azure.
A tabela LAQueryLogs , que fornece detalhes sobre as consultas executadas no Log Analytics, incluindo consultas executadas a partir do Microsoft Sentinel. Para obter mais informações, consulte Auditoria com LAQueryLogs.
Gorjeta
Além das consultas manuais descritas neste artigo, o Microsoft Sentinel fornece uma pasta de trabalho interna para ajudá-lo a auditar as atividades em seu ambiente SOC.
Na área Pastas de Trabalho do Microsoft Sentinel, procure a pasta de trabalho de auditoria do espaço de trabalho.
Pré-requisitos
Antes de executar com êxito as consultas de exemplo neste artigo, você precisa ter dados relevantes em seu espaço de trabalho do Microsoft Sentinel para consultar e acessar o Microsoft Sentinel.
Para obter mais informações, consulte Configurar conteúdo do Microsoft Sentinel e Funções e permissões no Microsoft Sentinel.
Auditoria com logs de atividades do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividades do Azure, onde a tabela AzureActivity inclui todas as ações executadas em seu espaço de trabalho do Microsoft Sentinel.
Você pode usar a tabela AzureActivity ao auditar a atividade em seu ambiente SOC com o Microsoft Sentinel.
Para consultar a tabela AzureActivity:
Conecte a fonte de dados da Atividade do Azure para iniciar o streaming de eventos de auditoria em uma nova tabela chamada
AzureActivity. No portal do Azure, consulte esta tabela na página Logs . No portal do Defender, consulte esta tabela na página Investigação e resposta > Caça >avançada . Para obter mais informações, consulte,Consulte os dados usando o KQL, como faria com qualquer outra tabela.
A tabela AzureActivity inclui dados de muitos serviços, incluindo o Microsoft Sentinel. Para filtrar apenas dados do Microsoft Sentinel, inicie sua consulta com o seguinte código:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Por exemplo, para descobrir quem foi o último usuário a editar uma regra de análise específica, use a seguinte consulta (substituindo
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxpela ID da regra que você deseja verificar):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Adicione mais parâmetros à sua consulta para explorar ainda mais a tabela AzureActivities , dependendo do que você precisa relatar. As seções a seguir fornecem outras consultas de exemplo para usar ao auditar com dados de tabela do AzureActivity .
Para obter mais informações, consulte Dados do Microsoft Sentinel incluídos nos logs de atividade do Azure.
Encontre todas as ações realizadas por um usuário específico nas últimas 24 horas
A consulta de tabela AzureActivity a seguir lista todas as ações executadas por um usuário específico do Microsoft Entra nas últimas 24 horas.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Localizar todas as operações de exclusão
A consulta de tabela AzureActivity a seguir lista todas as operações de exclusão executadas em seu espaço de trabalho do Microsoft Sentinel.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Dados do Microsoft Sentinel incluídos nos logs de atividade do Azure
Os logs de auditoria do Microsoft Sentinel são mantidos nos Logs de Atividades do Azure e incluem os seguintes tipos de informações:
| Operação | Tipos de informação |
|---|---|
| Criado | Regras de alerta Comentários de casos Comentários de incidentes Pesquisas guardadas Listas de observação Livros |
| Eliminados | Regras de alerta Favoritos Conectores de dados Incidentes Pesquisas guardadas Configurações Relatórios de informações sobre ameaças Listas de observação Pastas de trabalho Fluxo de Trabalho |
| Atualizado | Regras de alertas Favoritos Processos Conectores de dados Incidentes Comentários de incidentes Relatórios de informações sobre ameaças Pastas de trabalho Fluxo de Trabalho |
Você também pode usar os logs de atividade do Azure para verificar se há autorizações e licenças de usuário.
Por exemplo, a tabela a seguir lista as operações selecionadas encontradas nos logs de atividade do Azure com o recurso específico do qual os dados de log são extraídos.
| Nome da operação | Tipo de recurso |
|---|---|
| Criar ou atualizar pasta de trabalho | Microsoft.Insights/pastas de trabalho |
| Excluir pasta de trabalho | Microsoft.Insights/pastas de trabalho |
| Definir fluxo de trabalho | Microsoft.Logic/fluxos de trabalho |
| Excluir fluxo de trabalho | Microsoft.Logic/fluxos de trabalho |
| Criar pesquisa guardada | Microsoft.OperationalInsights/workspaces/savedSearches |
| Excluir pesquisa salva | Microsoft.OperationalInsights/workspaces/savedSearches |
| Atualizar regras de alerta | Microsoft.SecurityInsights/alertRules |
| Excluir regras de alerta | Microsoft.SecurityInsights/alertRules |
| Atualizar ações de resposta à regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Excluir ações de resposta à regra de alerta | Microsoft.SecurityInsights/alertRules/actions |
| Atualizar favoritos | Microsoft.SecurityInsights/marcadores |
| Excluir favoritos | Microsoft.SecurityInsights/marcadores |
| Casos de atualização | Microsoft.SecurityInsights/Casos |
| Atualizar investigação de caso | Microsoft.SecurityInsights/Casos/investigações |
| Criar comentários de caso | Microsoft.SecurityInsights/Casos/comentários |
| Atualizar conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Excluir conectores de dados | Microsoft.SecurityInsights/dataConnectors |
| Atualizar definições | Microsoft.SecurityInsights/configurações |
Para obter mais informações, consulte Esquema de eventos do Log de Atividades do Azure.
Auditoria com LAQueryLogs
A tabela LAQueryLogs fornece detalhes sobre consultas de log executadas no Log Analytics. Como o Log Analytics é usado como armazenamento de dados subjacente do Microsoft Sentinel, você pode configurar seu sistema para coletar dados LAQueryLogs em seu espaço de trabalho do Microsoft Sentinel.
Os dados do LAQueryLogs incluem informações como:
- Quando as consultas foram executadas
- Quem executou consultas no Log Analytics
- Qual ferramenta foi usada para executar consultas no Log Analytics, como o Microsoft Sentinel
- Os próprios textos de consulta
- Dados de desempenho em cada execução de consulta
Nota
A tabela LAQueryLogs inclui apenas consultas que foram executadas na folha Logs do Microsoft Sentinel. Ele não inclui as consultas executadas por regras de análise agendadas, usando o Gráfico de Investigação, na página Caça ao Microsoft Sentinel ou na página de caça avançada do portal Defender.
Pode haver um pequeno atraso entre o momento em que uma consulta é executada e os dados são preenchidos na tabela LAQueryLogs . Recomendamos aguardar cerca de 5 minutos para consultar a tabela LAQueryLogs para obter dados de auditoria.
Para consultar a tabela LAQueryLogs:
A tabela LAQueryLogs não está habilitada por padrão no espaço de trabalho do Log Analytics. Para usar dados LAQueryLogs ao auditar no Microsoft Sentinel, primeiro habilite os LAQueryLogs na área de configurações de diagnóstico do espaço de trabalho do Log Analytics.
Para obter mais informações, consulte Consultas de auditoria nos logs do Azure Monitor.
Em seguida, consulte os dados usando o KQL, como faria com qualquer outra tabela.
Por exemplo, a consulta a seguir mostra quantas consultas foram executadas na última semana, por dia:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
As seções a seguir mostram mais consultas de exemplo para executar na tabela LAQueryLogs ao auditar atividades em seu ambiente SOC usando o Microsoft Sentinel.
O número de consultas executadas onde a resposta não foi "OK"
A seguinte consulta de tabela LAQueryLogs mostra o número de consultas executadas, onde qualquer coisa diferente de uma resposta HTTP de 200 OK foi recebida. Por exemplo, esse número incluirá consultas que falharam na execução.
LAQueryLogs
| where ResponseCode != 200
| count
Mostrar usuários para consultas com uso intensivo de CPU
A consulta de tabela LAQueryLogs a seguir lista os usuários que executaram as consultas mais intensivas de CPU, com base na CPU usada e no tempo de consulta.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Mostrar aos usuários que realizaram mais consultas na semana passada
A seguinte consulta de tabela LAQueryLogs lista os usuários que executaram mais consultas na última semana.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Configurando alertas para atividades do Microsoft Sentinel
Talvez você queira usar os recursos de auditoria do Microsoft Sentinel para criar alertas proativos.
Por exemplo, se você tiver tabelas confidenciais em seu espaço de trabalho do Microsoft Sentinel, use a seguinte consulta para notificá-lo sempre que essas tabelas forem consultadas:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Monitore o Microsoft Sentinel com pastas de trabalho, regras e playbooks
Use os próprios recursos do Microsoft Sentinel para monitorar eventos e ações que ocorrem no Microsoft Sentinel.
Monitore com pastas de trabalho. Várias pastas de trabalho internas do Microsoft Sentinel podem ajudá-lo a monitorar a atividade do espaço de trabalho, incluindo informações sobre os usuários que trabalham em seu espaço de trabalho, as regras de análise que estão sendo usadas, as táticas MITRE mais cobertas, paralisadas ou interrompidas e o desempenho da equipe SOC.
Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel e pastas de trabalho do Microsoft Sentinel comumente usadas
Esteja atento ao atraso na ingestão. Se você tiver preocupações com o atraso de ingestão, defina uma variável em uma regra de análise para representar o atraso.
Por exemplo, a seguinte regra de análise pode ajudar a garantir que os resultados não incluam duplicatas e que os logs não sejam perdidos ao executar as regras:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductPara obter mais informações, consulte Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação.
Monitore a integridade do conector de dados usando o playbook da Solução de Notificação por Push da Integridade do Conector para observar a ingestão interrompida ou interrompida e enviar notificações quando um conector parar de coletar dados ou as máquinas pararem de relatar.
Próximos passos
No Microsoft Sentinel, use a pasta de trabalho de auditoria do espaço de trabalho para auditar as atividades em seu ambiente SOC.
Para obter mais informações, consulte Visualizar e monitorar seus dados.