问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 如何使用 Azure 蓝图部署 Azure Sentinel ARM 模板?
我已经阅读了Azure Sentinel文档。如何借助 Azure 蓝图部署 Azure Sentinel ARM 模板?
azure-data-explorer - 当其中一个是数字而另一个是范围时如何关联两个条目
我在 Sentinel 中有两个表,其中包含数据。我在表 A 中有字段 A,它是一个数字。我在表 B 中有两个字段 B 和 C,它们也是数字,但它们代表一个范围。与表 A 字段 A 包含数字“9”一样,表 B 字段 B 包含数字“3”,表 B 字段 C 包含数字“18”。
我想浏览表 A 中的所有条目,并在表 B 中找到这些条目的匹配日志。如果字段 A 的值在字段 B 和 C 的范围内(在 B 和 C 之间),则条目匹配. 因此,在上面的示例中,数字 9 介于 3 和 18 之间,因此两个表中的这两个条目将匹配。
因为它们不是完全匹配,所以我不能使用 join 来查找匹配的条目。
有没有办法用 KQL (Kusto) 以某种方式做到这一点?我尝试了多种解决方案,但到目前为止都没有成功。我尝试使用用户定义的函数,但出现“当前上下文中不应出现表格表达式”错误。
ssl - 使用 fluentD 读取 OMSagent 特定端口上的 TLS 握手
是否有人使用 FluentD 代表 OMSagent 在特定端口上处理 TLS 握手?我在 omsagent 文件夹中的 FluentD conf 如下所示:
这会捕获 TCP 上到达端口 12345 的数据,并通过 OMSagent 将其发送到 Sentinel SIEM。但是,这不处理 TLS 协商,因此握手失败,只有 TCP 握手数据进入 Sentinel。例如,当 Client 发送 Hello 时,没有 TLS Server Hello,因为 OMSagent 无法处理 TLS。有 Syn Ack Fin 和 Rst。
有没有办法使用 FluentD 处理 TLS 协商?
示例 FluentD conf ,不起作用:
kql - 将列表中的部分字符串与字段匹配
我正在尝试使用 Azure 中的 Log Analytics/Sentinel 中的 Kusto 检查字段是否包含列表中的值。
该列表包含顶级域,但我只想匹配这些顶级域的子域。列表值 example.com 应与 forum.example.com 或 api.example.com 等值匹配。
我得到了以下代码,但它只完全匹配。
我尝试使用endwith,但无法使其与列表一起使用。
azure - Microsoft Sentinel 和 ServiceNow 以及 Get Etag 的集成问题
处理 Microsoft Sentinel 到 ServiceNow 的集成,如Microsoft Azure 到 ServiceNow 文章中所述。我遇到了一个问题
无效模板。无法在“0”行和“0”列的操作“GEt_incident__-_bring_fresh_Etag”输入中处理模板语言表达式:'模板语言表达式'body('Parse_JSON_2')?['value']?[0]['SubId无法评估“]”,因为无法选择属性“SubId”。请参阅 https://aka.ms/logicexpressions 了解使用详情。'。
我一直试图打破这个信息的含义,特别是在这篇文章中,
无法评估模板语言表达式 'body('Parse_JSON_2')?['value']?[0]['SubId']',因为无法选择属性 'SubId'。或者更重要的是,无法评估模板语言表达式 XXX,因为无法选择属性“SubId”。
是“不能选择”,说明有权限问题吗?我正在使用系统标识
分配角色的位置是
我愿意考虑任何想法或想法。
kql - 如何将用户定义的函数应用于 KQL 中的一系列值
我有一个输出表格的函数:
我想做的是将此函数应用于一个范围并将结果组合为:
有任何想法吗?我尝试了很多东西,但最终只出现代码错误
azure - Microsoft Sentinel 在原始负载中搜索字符串
我试图找出 Microsoft Sentinel 中是否有一种方法可以在所有数据连接器和所有日志中执行搜索。这与 IBM QRadar 等提供的功能类似,可以在所有日志源中执行搜索,并以原始 syslog 形式对所有已保存日志进行有效负载概览。
我想在 Sentinel 中执行的 QRadar 中的 AQL 查询格式:
SELECT UTF8(payload) FROM events WHERE UTF8(payload) ILIKE 'search string' LAST 24 HOURS
这是一个非常有用的功能,尤其是在回溯分析日志和调试规则时。
谢谢你。
sentinel - 模拟在不同的异常检测设置下会产生多少事件
亲爱的 KQL 大师/专家,我一直在努力寻找最有效(优雅)的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。
情况:
- 目前我们有一个名为“进程执行频率异常”的异常检测规则,每小时运行一次,并产生大量误报
- 我们希望通过更改 series_decompose_anomalies 中的“阈值”值来调整分析规则。
- 我们想模拟运行各种不同设置的分析规则,看看它会产生多少事件。
问题/我尝试过的事情:
- 这个想法是模拟“好像”分析规则在 7 天前每小时运行一次。类似于“结果模拟”部分。
- 通过在 KQL 行的末尾添加 make-series 命令,我已经能够在 Workbooks 中为简单的分析规则创建模拟。但是,对于这个特定的异常检测规则,我无法重新创建它。很可能是因为数据是由内存中的 series_decompose_anomalies 函数产生的。
问题:
- 可行吗?
- 我是否错误地处理了这个问题?
- 是否最好更改设置,然后在接下来的 30 天内进行评估?
感谢您的想法和建议。
azure - 什么是 Azure Sentinel 搜索查询,它将显示向 Sentinel 报告的系统以及操作系统信息?
我正在尝试构建一个查询,该查询将显示向 Sentinel 报告的所有数据源作为其设备/计算机名称及其关联的操作系统。我计划使用此查询来建立向 Sentinel 报告的设备基线并监控漂移。到目前为止,我还不能起草一个显示数据的查询,但我认为利用“union *”是一个正确方向的开始。
azure-devops - Azure Sentinel:需要用于 Carbonblack 的示例 KQL 用例
要求 :
Sentinel 连接器:EDR Carbon Black 语言:KQL
大家好,
需要一些炭黑 EDR 的示例 KQL 查询以查看登录并在 azure sentinel 中创建用例。