问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
subnet - 使用 KQL 搜索子网
我想搜索来自一组特定子网的 IP。一些查询语言足够聪明,可以知道 /24 是子网,但 KQL 不是。有没有替代方案?这不是我要搜索的内容,但为了举例,假设您要搜索登录日志,但只能从 192.168.1.0/24 中的机器搜索
azure - 如何在 Azure Log Analytics 工作区中获取 Windows 安全事件?
我在 Azure 中有多个虚拟机和虚拟机规模集,我想为其收集 Windows 安全事件日志。我尝试通过门户将这些事件添加到 Sentinel 使用的 Log Analytics 工作区。
这会产生以下错误消息。
此情报包无法收集“安全”事件日志,因为当前不支持审核成功和审核失败事件类型。
Sentinel 可以访问这些安全日志对我来说是一个硬性要求。我一直在试图弄清楚我的选择是什么,但我还没有找到一个好的选择。
规定的方法似乎是在 Sentinel 中为安全事件设置数据连接器。我尝试了一些有趣的事情。
虚拟机规模集支持有限。目前没有可用的操作。
看起来我无法连接虚拟机规模集,这是一个大问题。此外,我什至无法从此上下文中选择安全事件层(见下文)。
所以看起来我必须使用 Azure 安全中心。在 Azure 安全中心内,我可以添加这些安全事件的唯一方法是打开自动配置并在每个 VM 上安装 Microsoft 监控代理 (MMA),这是我不想做的事情。我也担心使用 ASC 的成本。
还有其他选择吗?我会以错误的方式解决这个问题吗?
azure - 从 Microsoft Graph 安全 API 中提取扩展属性?
我正在尝试通过 API 提取与警报 no Sentinel 相关的基本事件,但是 Graph Security API 并没有返回太多。我看不到映射实体或扩展属性。
我尝试使用 url 中的“扩展”选项来扩展属性,但没有运气。老实说,我真的没有在 Graph API 中看到很多我通常会在搜索中看到的信息。
另外,有没有办法让我从警报 ID 中找到搜索的基本事件?
https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extendedproperties
https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extended
https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=properties
https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extensions
azure-sentinel - 使用日志中的查询获取事件详细信息,例如分配给、分析师的评论、事件 ID 等
我正在调查事件,但我需要将它们与处理该事件的SOC 分析师联系起来,以及他们添加了哪些评论。我无法在任何表格中找到这些详细信息。这将有助于为 SOC 团队提取指标。我在哪里可以找到这些信息?
azure-log-analytics - 是否可以在 Azure Sentinel 中创建日志源健康警报?
我正在尝试创建一个警报,让我知道数据源是否停止向 Sentinel 提供日志。虽然我知道它在仪表板上的日志数据中显示异常,但我希望在来源长时间停止提供日志时收到警报。
azure - 差异 - 非典型旅行、不可能旅行、不熟悉的登录
我们在我们的环境中配置了来自 Azure ATP 和MCAS(Microsoft Cloud App Security)的安全警报。我们收到有关不熟悉的登录、不可能的旅行活动和非典型旅行的警报。据我了解:
不熟悉的登录:用户从一个对用户来说不常见的位置或不同于他们一直登录的位置登录。
不可能的旅行活动 (ITA):用户在不可能旅行的时间范围内从不同位置登录。(例如,在 25 分钟内从印度登录,然后在英国登录)
另外,如果这些位置之一是新位置,那么我也希望出现不熟悉的登录。(或者 ITA 是否涵盖了这种情况?)
非典型旅行:一个不可能的旅行活动,带有不熟悉的登录扭曲。
我们需要了解这些差异,以便我们可以选择在 SIEM 中包含哪些差异并降低噪音。
但这些差异要么非常微妙,要么这些警报是多余的。
- 能否请我清楚地解释这些警报,
- 他们是否互相踩踏(冗余、重复、重叠)?
- 他们是否在生成警报之前检查是否已为同一用户生成了一个或另一个警报?
azure - 有没有办法对 KQL 中的列表元素执行字符串运算符?
我正在尝试根据 !hassuffix 字符串运算符将 Azure 哨兵规则中的一堆域列入白名单。
我试图做这样的事情:
但是因为会有很多列入白名单的域和子域希望将根域/子域存储在一个列表中,该列表将在 blob 存储中,例如:
有谁知道遍历这些语法并检查每个动态数组元素的destinationDomain !hassuffix 的语法?或者是拥有墙的唯一方法?谢谢
azure - 如何在 Azure Sentinel 中创建一个从 Office 365 检测、警告和删除电子邮件转发规则的剧本?
我想知道如何创建执行以下操作的 Azure Sentinel 剧本:
- 检测 Office 365 中的电子邮件转发规则
- 如果有,请删除转发规则
- 向管理员发送有关转发规则的警报电子邮件
问候,
azure - 使用应用程序洞察力的自定义应用程序仪表板
我们有很多应用程序会向应用程序洞察抛出自定义日志。我想制作一个仪表板,我可以在其中查看每个应用程序是否正在运行或抛出异常等。我尝试在日志分析中环顾四周,它似乎没有连接到应用程序洞察力的连接器。任何人都可以提供一些信息开始吗?我应该使用 Monitor、Log Analytics 还是 Sentinel 来执行此任务,以及如何开始使用自定义应用程序洞察日志。
kql - 用 kusto 语言计算 make_set 创建的数组中有多少元素
如何计算 KQL 中 make_set 创建的数组中的元素?