Cvičení – vytvoření základních dotazů protokolu služby Azure Monitor k získání informací z dat protokolu

  • 12 min

Provozní tým momentálně nemá dostatek informací o jeho chování systému k efektivní diagnostice a řešení problémů. Aby tým tyto potíže vyřešil, nakonfiguroval pracovní prostor služby Azure Monitor se službami Azure společnosti. Spustí dotazy Kusto, které získají stav systému a pokusí se identifikovat příčiny jakýchkoli problémů, ke kterým může dojít.

Tým se konkrétně zajímá o sledování událostí zabezpečení, aby mohl kontrolovat možné pokusy o narušení systému. Útočník by se mohl pokusit manipulovat s aplikacemi, které běží v systému. Proto chce tým také shromažďovat data aplikací pro další analýzu. Útočník by se také mohl pokusit zastavit počítače, které systém tvoří. Proto chce tým také prozkoumat, jak a kdy se počítače zastavují a restartují.

V tomto cvičení si procvičíte provádění dotazů na protokoly Azure s ukázkovým projektem, který obsahuje ukázková data v tabulkách, protokolech a dotazech.

Vytvoření základních dotazů protokolu služby Azure Monitor k získání informací z dat protokolu

Pojďme použít podokno Ukázkové protokoly Azure k procvičení psaní dotazů. Ukázkový pracovní prostor projektu je předem vyplněný ukázkovými daty. Azure nabízí optimalizovaný dotaz podobný SQL s možnostmi vizualizace dat v jazyce označovaném jako KQL (dotazovací jazyk Kusto.)

  1. Otevřete ukázkové prostředí Protokolů. V levém horním rohu v části Nový dotaz 1 najdete ukázku, která identifikuje pracovní prostor nebo obor dotazu. Levá strana tohoto podokna obsahuje několik karet: Tabulky, dotazy a funkce. Pravá strana obsahuje scratchpad pro vytváření nebo úpravy dotazů.

  2. Na kartě Nový dotaz 1 zadejte základní dotaz na prvním řádku pomocného panelu. Tento dotaz načte podrobnosti o 10 nejnovějších událostech zabezpečení.

    SecurityEvent
    | take 10

  3. Na panelu příkazů vyberte Spustit a spusťte dotaz a zobrazte výsledky. Další informace získáte tak, že rozbalíte každý řádek v podokně výsledků.

  4. Seřaďte data podle času přidáním filtru do dotazu:

    SecurityEvent
    | top 10 by TimeGenerated

  5. Přidejte klauzuli filtru a časový rozsah. Spuštěním tohoto dotazu načtěte záznamy starší než 30 minut a mají úroveň 10 nebo více:

    SecurityEvent
    | where TimeGenerated < ago(30m)
    | where toint(Level) >= 10

  6. Spuštěním následujícího dotazu vyhledejte AppEvents v tabulce záznamy Clicked Schedule Button události, která se vyvolá během posledních 24 hodin:

    AppEvents 
    | where TimeGenerated > ago(24h)
    | where Name == "Clicked Schedule Button"

  7. Spuštěním následujícího dotazu zobrazte počet různých počítačů, které každý týden vygenerovaly události prezenčních signálů za poslední tři týdny. Výsledky se zobrazí jako pruhový graf:

    Heartbeat
    | where TimeGenerated >= startofweek(ago(21d))
    | summarize dcount(Computer) by endofweek(TimeGenerated) | render barchart kind=default

Použití předdefinovaných dotazů protokolu Azure k extrakci informací z dat protokolů

Kromě psaní dotazů od nuly může provozní tým využít také předdefinované dotazy v protokolech Azure, které odpovídají na běžné otázky související se stavem, dostupností, využitím a výkonem prostředků.

  1. Pomocí parametru Časový rozsah na panelu příkazů nastavte vlastní rozsah. Vyberte měsíc, rok a den v rozsahu od ledna do dnešního dne. U libovolného dotazu můžete nastavit a použít vlastní čas.

  2. Na panelu nástrojů vyberte Dotazy. Zobrazí se podokno Dotazy . V rozevíracím seznamu v nabídce vlevo můžete zobrazit seznam ukázkových dotazů seskupených podle kategorie, typu dotazu, typu prostředku, řešení nebo tématu.

  3. V rozevíracím seznamu vyberte Kategorie a pak vyberte NÁSTROJE PRO IT a správu.

  4. Do vyhledávacího pole zadejte Jedinečné chybějící aktualizace mezi počítači. Vyberte dotaz v levém podokně a pak vyberte Spustit. Znovu se zobrazí podokno Protokoly s dotazem, který vrací seznam aktualizací Windows, které ve virtuálních počítačích odesílají protokoly do pracovního prostoru.

    Poznámka:

    Stejný dotaz můžete spustit také z podokna Protokoly . V levém podokně vyberte kartu Dotazy a pak v rozevíracím seznamu Seskupit podle vyberte Kategorii. Teď se posuňte dolů v seznamu, rozbalte NÁSTROJE PRO SPRÁVU IT a poklikejte na Položku Jedinečné chybějící aktualizace mezi počítači. Vyberte Spustit a dotaz spusťte. Když v levém podokně vyberete předdefinovaný dotaz, kód dotazu se připojí k libovolnému dotazu, který na pomocném panelu existuje. Před otevřením nebo přidáním nového dotazu, který chcete spustit, nezapomeňte vymazat scratchpad.

  5. V levém podokně zrušte zaškrtnutí vyhledávacího pole. Vyberte Dotazy a pak v rozevíracím seznamu Seskupit podle vyberte Kategorii. Rozbalte Azure Monitor a poklikejte na Dostupnost počítačů ještě dnes. Vyberte Spustit. Tento dotaz vytvoří graf časových řad s počtem jedinečných IP adres odesílaných do pracovního prostoru každou hodinu za poslední den.

  6. Vyberte téma v rozevíracím seznamu Seskupit podle , posuňte se dolů a rozbalte aplikaci Function App a potom poklikejte na Zobrazit protokoly aplikací z aplikací Function Apps. Vyberte Spustit. Tento dotaz vrátí seznam protokolů aplikace seřazený podle času s nejnovějšími protokoly zobrazenými jako první.

Všimněte si, že z dotazů Kusto, které jste tady použili, můžete snadno cílit na konkrétní časový interval, úroveň události nebo typ protokolu událostí. Bezpečnostní tým může snadno prozkoumat prezenční signály, aby identifikoval, kdy jsou servery nedostupné, což může znamenat útok DoS. Pokud tým zjistí čas, kdy byl server nedostupný, může se dotázat na události v protokolu zabezpečení v okolí tohoto času a zjistit, jestli bylo přerušení způsobeno útokem. Předdefinované dotazy také můžou vyhodnotit dostupnost virtuálních počítačů, identifikovat chybějící aktualizace Windows a zkontrolovat protokoly brány firewall a zobrazit odepřené síťové toky určené pro virtuální počítače, které jsou zajímavé.