问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 在 Azure 逻辑应用中存储变量以在下次运行中使用
我正在从 API 获取数据,但我想从逻辑运行应用程序的最后一次到当前时间获取数据(以减少冗余)。所以我可以在哪里存储最后一个日期时间,以便我可以在 API 中使用它。API 提供该功能以消磨时间,但在天蓝色逻辑应用程序中,我可以在哪里存储上次日期信息?
当前逻辑应用设计 逻辑应用设计器
azure - 在 Azure 哨兵存储库中创建拉取请求
为 github 存储库做出贡献,即在Azure sentinel Reposiroty 中进行 PR: https ://github.com/Azure/Azure-Sentinel是否有必要成为 Microsoft 合作伙伴,或者我可以直接贡献而不这样做?
azure - 在 azure sentinel 工作簿中向下钻取
在 Splunk 中,我们在仪表板中有向下钻取选项,那么这在 azure sentinel 工作簿中是否可行?考虑我有一个图表(平铺图或饼图),所以当我点击它时,我想打开另一个选项卡。azure sentinel 工作簿中是否有可能?
azure - 修改通过 OMS 代理收集的 CEF 日志的解析
我按照https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format文档将日志获取到 Azure Sentinel 工作区。在我的事件中,我有一个名为 FlexNumber 的字段,如果该字段的值是整数,则会提取它,但如果该字段的值是浮点数,则该字段值将被 null 覆盖。日志被摄取到 CommonSecurityLog 表中。
这里我想将 FlexNumber1 和 FlexNumber2 的数据类型从 int 更改为 float。可能吗?
azure - 正则表达式的 Azure Log Analytics 语法错误
我正在为以下日志类型的日志文件编写 DNS 解析器:
18/03/2020 07:08:23 1164 数据包 000000C164RF56B0 UDP Rcv 10.128.151.34 076e Q [0001 D NOERROR] A (10)indelpus03(6)kworld(4)kay(3)com(0)
我试图抓住 [] 里面的任何东西 - 因此是 0001 D NOERROR。我有以下正则表达式,他有效:
(?<=[)(.*?)(?=])
但是,当我在 KQL 上测试它失败时,它说语法错误。如果有人有解决方案,请告诉我。域名等的正则表达式也是如此
kql - 在 Azure Sentinel 上模拟 CIDR 范围的白名单
有没有办法在 kusto 中使用 CIDR 范围?下面的代码只有在我删除 /24 时才有效。
请问有什么解决办法吗?
azure - Azure Sentinel 工作簿由于缓存而显示旧数据
我创建了一个 KQL 并使用它在工作簿中绘制了一个平铺视图。Tile 中的数据应该根据我添加的 Timerange 过滤器进行更改。除非收到新事件,否则这工作正常。因此,假设我在下午 12 点选择了“过去 24 小时”,并且图块中的计数为“2”。现在,我让会话空闲几分钟,在下午 12:10,一个新事件到来。此后,当我将时间范围过滤器更改为“过去 5 分钟”时,我看到了新事件,但是当我再次将时间范围过滤器更改为“过去 24 小时”时,计数仍然是“2”而不是“3”。
但是,当我刷新整个网页时,计数会更新。有什么办法可以克服这个吗?我认为结果正在被 Azure 缓存并重用,但是有没有办法禁用它?
azure-log-analytics - Azure Sentinel Search 在分配给订阅(租户)的新公共 IP 时收到警报
我感谢在这个问题上的任何时间或努力。我想在 Azure Sentinel (Log Analytics) 中创建一个警报,让我们知道何时在我们的租户中创建了新的公共 IP。我不确定什么样的解决方案或来源会有这些数据。我目前没有关于这个问题的任何代码,因为我不确定这些数据将驻留在哪里。如果您对从哪里开始或我正在寻找什么解决方案有任何见解,那就太好了。
谢谢!
azure-data-explorer - Kusto KQL 查询以扩展多个实体
我需要从 azure 中的多个警报中解析出用户名。
如果我使用以下扩展,我可以从“0”获取数据
| extend Name = tostring(parse_json(Entities)[0].Name)
但有时数据为 6 或 9 等,我可以简单地添加一个带有“name2 = ....”的新行,但 id 需要确切知道可能有多少实体,这个数字可能无法管理。
有没有办法我可以通过 KQL 解析所有实体并为每个 .name 实体创建一个新列
syslog - 让 Cisco ASA 被摄取到 CommonSecurityLog 数据表的问题
感谢您的时间和帮助。我在将 Cisco ASA 引入 CommonSecurityLog 数据表时遇到了很多问题。我认为这源于我如何通过 syslog 接收消息以及我对 omsagent 架构的理解以及它如何区分 CEF 和 Syslog。目前,我们没有任何内容写入任何系统日志设施。我正在将我的 cisco asa 消息写入每天生成的自定义文件。它在 TCP/1470 上发送,因为 cisco asa 不支持 TCP/514。日志已成功流向机器,所以我没有 conf 语法问题。尽管现在我似乎找不到任何有助于将其放入 Sentinel 的方法,因为它位于我的系统日志服务器上,而不是创建一个没有字段映射的自定义日志。下面是我的 syslog-ng。conf 看起来像相关的来源。我还在数据连接器页面中运行了验证连接脚本,以确保代理连接到工作区时一切正常。