تدقيق استعلامات وأنشطة Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

توضح هذه المقالة كيفية عرض بيانات التدقيق للاستعلامات التي يتم تشغيلها والأنشطة التي يتم تنفيذها في مساحة عمل Microsoft Sentinel، مثل متطلبات التوافق الداخلية والخارجية في مساحة عمل عمليات الأمان (SOC).

يوفر Microsoft Sentinel إمكانية الوصول إلى:

• جدول AzureActivity ، الذي يوفر تفاصيل حول كافة الإجراءات المتخذة في Microsoft Sentinel، مثل تحرير قواعد التنبيه. لا يسجل جدول AzureActivity بيانات استعلام محددة. لمزيد من المعلومات، راجع التدقيق باستخدام سجلات نشاط Azure.

• جدول LAQueryLogs ، الذي يوفر تفاصيل حول الاستعلامات التي يتم تشغيلها في Log Analytics، بما في ذلك الاستعلامات التي يتم تشغيلها من Microsoft Sentinel. لمزيد من المعلومات، راجع التدقيق باستخدام LAQueryLogs.

تلميح

بالإضافة إلى الاستعلامات اليدوية الموضحة في هذه المقالة، يوفر Microsoft Sentinel مصنفا مضمنا لمساعدتك في تدقيق الأنشطة في بيئة SOC الخاصة بك.

في منطقة مصنفات Microsoft Sentinel ، ابحث عن مصنف تدقيق مساحة العمل .

التدقيق باستخدام سجلات نشاط Azure

يتم الاحتفاظ بسجلات تدقيق Microsoft Sentinel في سجلات نشاط Azure، حيث يتضمن جدول AzureActivity كافة الإجراءات المتخذة في مساحة عمل Microsoft Sentinel.

يمكنك استخدام جدول AzureActivity عند تدقيق النشاط في بيئة SOC باستخدام Microsoft Sentinel.

للاستعلام عن جدول AzureActivity:

1. الاتصال مصدر بيانات Azure Activity لبدء دفق أحداث التدقيق إلى جدول جديد في شاشة السجلات يسمى AzureActivity.

2. بعد ذلك ، قم بالاستعلام عن البيانات باستخدام KQL ، كما تفعل مع أي جدول آخر.

   يتضمن جدول AzureActivity بيانات من العديد من الخدمات، بما في ذلك Microsoft Sentinel. لتصفية البيانات فقط من Microsoft Sentinel، ابدأ تشغيل الاستعلام باستخدام التعليمة البرمجية التالية:

    AzureActivity
   | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"
   

   على سبيل المثال، لمعرفة من كان آخر مستخدم لتعديل قاعدة تحليلات معينة، استخدم طلب البحث التالي (استبدال xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx معرف القاعدة للقاعدة التي تريد التحقق منها):

   AzureActivity
   | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE"
   | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   | project Caller , TimeGenerated , Properties
   

أضف المزيد من المعلمات إلى الاستعلام لاستكشاف جدول AzureActivities بشكل أكبر، استنادا إلى ما تحتاج إلى الإبلاغ عنه. توفر الأقسام التالية نماذج استعلامات أخرى لاستخدامها عند التدقيق باستخدام بيانات جدول AzureActivity .

لمزيد من المعلومات، راجع بيانات Microsoft Sentinel المضمنة في سجلات نشاط Azure.

العثور على جميع الإجراءات التي اتخذها مستخدم معين خلال ال 24 ساعة الماضية

يسرد استعلام جدول AzureActivity التالي كافة الإجراءات التي اتخذها مستخدم Azure AD معين خلال آخر 24 ساعة.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)

البحث عن جميع عمليات الحذف

يسرد استعلام جدول AzureActivity التالي كافة عمليات الحذف التي تم إجراؤها في مساحة عمل Microsoft Sentinel.

AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName

بيانات Microsoft Sentinel المضمنة في سجلات نشاط Azure

يتم الاحتفاظ بسجلات تدقيق Microsoft Sentinel في سجلات نشاط Azure، وتتضمن الأنواع التالية من المعلومات:

‏‏التشغيل	أنواع المعلومات
تم الإنشاء	قواعد التنبيه تعليقات الحالة تعليقات الحادث عمليات البحث المحفوظة قوائم المراقبة مصنفات
محذوفة	قواعد التنبيه الإشارات المرجعية موصلات البيانات الحوادث عمليات البحث المحفوظة الإعدادات تقارير استخبارات التهديدات قوائم المراقبة مصنفات سير العمل
المحدثة	قواعد التنبيه الإشارات المرجعية الحالات موصلات البيانات الحوادث تعليقات الحادث تقارير استخبارات التهديدات مصنفات سير العمل

يمكنك أيضا استخدام سجلات نشاط Azure للتحقق من تفويضات المستخدمين وتراخيصهم.

على سبيل المثال، يسرد الجدول التالي العمليات المحددة الموجودة في سجلات Azure Activity مع المورد المحدد الذي يتم سحب بيانات السجل منه.

اسم العملية	نوع المورد
إنشاء مصنف أو تحديثه	مايكروسوفت. Insights/المصنفات
حذف المصنف	مايكروسوفت. Insights/المصنفات
تعيين سير العمل	Microsoft.Logic/workflows
حذف سير العمل	Microsoft.Logic/workflows
إنشاء بحث محفوظ	Microsoft.OperationalInsights/workspaces/savedSearches
حذف البحث المحفوظ	Microsoft.OperationalInsights/workspaces/savedSearches
تحديث قواعد التنبيه	Microsoft.SecurityInsights/alertRules
حذف قواعد التنبيه	Microsoft.SecurityInsights/alertRules
تحديث إجراءات الاستجابة لقاعدة التنبيه	Microsoft.SecurityInsights/alertRules/actions
حذف إجراءات الاستجابة لقاعدة التنبيه	Microsoft.SecurityInsights/alertRules/actions
تحديث الإشارات المرجعية	Microsoft.SecurityInsights/bookmarks
حذف الإشارات المرجعية	Microsoft.SecurityInsights/bookmarks
تحديث الحالات	Microsoft.SecurityInsights/Cases
تحديث التحقيق في الحالات	Microsoft.SecurityInsights/Cases/investigations
إنشاء تعليقات الحالة	Microsoft.SecurityInsights/Cases/comments
تحديث موصلات البيانات	Microsoft.SecurityInsights/dataConnectors
حذف موصلات البيانات	Microsoft.SecurityInsights/dataConnectors
تحديث الإعدادات	Microsoft.SecurityInsights/settings

لمزيد من المعلومات، راجع مخطط أحداث سجل نشاط Azure.

التدقيق باستخدام LAQueryLogs

يوفر جدول LAQueryLogs تفاصيل حول استعلامات السجل التي يتم تشغيلها في Log Analytics. نظرا لاستخدام Log Analytics كمخزن بيانات أساسي ل Microsoft Sentinel، يمكنك تكوين النظام الخاص بك لجمع بيانات LAQueryLogs في مساحة عمل Microsoft Sentinel الخاصة بك.

تتضمن بيانات LAQueryLogs معلومات مثل:

• عند تشغيل الاستعلامات
• روبوت Who استعلامات التشغيل في Log Analytics
• الأداة التي تم استخدامها لتشغيل الاستعلامات في Log Analytics، مثل Microsoft Sentinel
• نصوص الاستعلام نفسها
• بيانات الأداء في كل استعلام يتم تشغيله

ملاحظة

• يتضمن جدول LAQueryLogs فقط الاستعلامات التي تم تشغيلها في شفرة السجلات الخاصة ب Microsoft Sentinel. ولا يتضمن الاستعلامات التي يتم تشغيلها بواسطة قواعد التحليلات المجدولة، باستخدام Graph التحقيق أو في صفحة Microsoft Sentinel Hunting (البحث عن Microsoft Sentinel).
• قد يكون هناك تأخير قصير بين وقت تشغيل استعلام وتعبئة البيانات في جدول LAQueryLogs . نوصي بالانتظار حوالي 5 دقائق للاستعلام عن جدول LAQueryLogs للحصول على بيانات التدقيق.

للاستعلام عن جدول LAQueryLogs:

1. لا يتم تمكين جدول LAQueryLogs بشكل افتراضي في مساحة عمل Log Analytics. لاستخدام بيانات LAQueryLogs عند التدقيق في Microsoft Sentinel، قم أولا بتمكين LAQueryLogs في منطقة إعدادات التشخيص في مساحة عمل Log Analytics.

   لمزيد من المعلومات، راجع استعلامات التدقيق في سجلات مراقب Azure.

2. بعد ذلك ، قم بالاستعلام عن البيانات باستخدام KQL ، كما تفعل مع أي جدول آخر.

   على سبيل المثال، يعرض الاستعلام التالي عدد الاستعلامات التي تم تشغيلها في الأسبوع الماضي، على أساس كل يوم:

   LAQueryLogs
   | where TimeGenerated > ago(7d)
   | summarize events_count=count() by bin(TimeGenerated, 1d)
   

تعرض الأقسام التالية المزيد من نماذج الاستعلامات لتشغيلها على جدول LAQueryLogs عند تدقيق الأنشطة في بيئة SOC باستخدام Microsoft Sentinel.

عدد الاستعلامات التي يتم تشغيلها حيث لم تكن الاستجابة "موافق"

يعرض استعلام جدول LAQueryLogs التالي عدد الاستعلامات التي يتم تشغيلها، حيث تم تلقي أي شيء آخر غير استجابة HTTP من 200 موافق . على سبيل المثال، سيتضمن هذا الرقم الاستعلامات التي فشلت في التشغيل.

LAQueryLogs
| where ResponseCode != 200 
| count 

إظهار المستخدمين للاستعلامات كثيفة الاستخدام لوحدة المعالجة المركزية

يسرد استعلام جدول LAQueryLogs التالي المستخدمين الذين قاموا بتشغيل الاستعلامات الأكثر كثافة لوحدة المعالجة المركزية، استنادا إلى وحدة المعالجة المركزية المستخدمة وطول وقت الاستعلام.

LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc

إظهار المستخدمين الذين أجروا معظم طلبات البحث في الأسبوع الماضي

يسرد استعلام جدول LAQueryLogs التالي المستخدمين الذين قاموا بتشغيل معظم الاستعلامات في الأسبوع الماضي.

LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
    SigninLogs)
    on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc

تكوين تنبيهات لأنشطة Microsoft Sentinel

قد ترغب في استخدام موارد تدقيق Microsoft Sentinel لإنشاء تنبيهات استباقية.

على سبيل المثال، إذا كان لديك جداول حساسة في مساحة عمل Microsoft Sentinel، فاستخدم الاستعلام التالي لإعلامك في كل مرة يتم فيها الاستعلام عن هذه الجداول:

LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query

مراقبة Microsoft Sentinel باستخدام المصنفات والقواعد وكتب التشغيل

استخدم ميزات Microsoft Sentinel الخاصة لمراقبة الأحداث والإجراءات التي تحدث داخل Microsoft Sentinel.

• المراقبة باستخدام المصنفات. تم إنشاء المصنفات التالية لمراقبة نشاط مساحة العمل:

  • تدقيق مساحة العمل. يتضمن معلومات حول المستخدمين في البيئة الذين يقومون بتنفيذ الإجراءات والإجراءات التي قاموا بتنفيذها والمزيد.
  • كفاءة التحليلات. يوفر نظرة ثاقبة حول القواعد التحليلية التي يتم استخدامها ، وتكتيكات MITRE الأكثر تغطية ، والحوادث الناتجة عن القواعد.
  • كفاءة العمليات الأمنية. يعرض مقاييس حول أداء فريق SOC والحوادث المفتوحة والحوادث المغلقة والمزيد. يمكن استخدام هذا المصنف لإظهار أداء الفريق وتسليط الضوء على أي مناطق قد تفتقر إليها وتتطلب الاهتمام.
  • مراقبة صحة جمع البيانات. يساعد في مراقبة عمليات الابتلاع المتوقفة أو المتوقفة.

  لمزيد من المعلومات، راجع مصنفات Microsoft Sentinel شائعة الاستخدام.

• راقب تأخير الابتلاع. إذا كانت لديك مخاوف بشأن تأخير الابتلاع، فقم بتعيين متغير في قاعدة تحليلات لتمثيل التأخير.

  على سبيل المثال، يمكن أن تساعد قاعدة التحليلات التالية في التأكد من أن النتائج لا تتضمن تكرارات، وعدم تفويت السجلات عند تشغيل القواعد:

  let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back)
  - Calculating ingestion delay
    CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProduct
  

  لمزيد من المعلومات، راجع أتمتة معالجة الحوادث في Microsoft Sentinel باستخدام قواعد التنفيذ التلقائي.

• راقب حالة موصل البيانات باستخدام دليل تشغيل حل الإشعارات المباشرة لصحة الموصل لمشاهدة الابتلاع المتوقف أو المتوقف، وأرسل إشعارات عند توقف الموصل عن جمع البيانات أو توقف الأجهزة عن إعداد التقارير.

الخطوات التالية

في Microsoft Sentinel، استخدم مصنف تدقيق مساحة العمل لتدقيق الأنشطة في بيئة SOC الخاصة بك.

لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها.