问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure-data-explorer - 如何在 kusto sql 中选择 json
我想使用 kusto sql 在 azure 数据库中选择 json 数据。看看它的数据。
实体列中的数据。它看起来像 json 类型。但是使用 [,] 我不知道为什么使用 [,].... 不仅是 {,}..
我想在一般 sql 类型中像这样选择..(从 SecurityAlert 中选择 id、主机名、osfamily ....)
所以,我试过这样......
azure-data-explorer - Cisco ASA 并发 VPN 用户 - KQL / Azure Sentinel 中的时间表
我需要制作一个连接到我的Cisco ASA的并发 VPN 用户的时间表,如下图所示:
另一个时间表截图在这里: https ://drive.google.com/file/d/1dW8nyG3dz3GbPiXuiXZofuhccoHpEHSP/view ?usp=sharing
在 splunk 中,这里发布的精彩查询使这成为可能: https ://community.splunk.com/t5/Splunk-Search/Concurrent-Active-VPN-Sessions-on-a-Timechart/mp/493141#M137524
如果我必须使用相同的逻辑来达到预期的结果,我只需要您的帮助将上述 splunk 查询的以下部分转换为 KQL:
预期输出(来自 splunk):https ://drive.google.com/file/d/11F5p_zOGlgenIqVsToXiPlL2UplSIRNa/view?usp=sharing
示例数据(来自 Sentinel,已解析): https ://drive.google.com/file/d/1wzansi1MfCnUylNHSeUHiw8POIxzS4q_/view?usp=sharing
是的,我们不得不从 splunk 切换到 Azure Sentinel。(不要问为什么。)
azure - Azure Sentinel 可以聚合来自本地或任何云中运行的设备的数据吗?
Azure Sentinel 可以聚合来自本地运行的设备的数据吗?
azure - 将 KQL 数组拆分为多列
我正在尝试在 Azure Sentinel 的工作簿中构建仪表板。其中一列是不同长度的 JSON 数组。我想拆分该数组,以便数组中的每个元素都成为自己的列,但我想不出一个好方法来做到这一点。基本上我想要这个
成为
azure-sentinel - Azure Sentinel - 日志分析 - 帮助 - 按位置和用户查找 3 个月内所有成功的天蓝色标志
我是 Sentinel/Work Analytics 和 KMQ 的新手。我一直在尝试找出一个查询,以从 azure 活动登录中获取用户和位置的所有成功登录。我希望您能帮助我或向我指出一些参考资料。
我尝试使用 github 和 Sentinel 仪表板中的一些示例。我可以按国家/地区获取所有失败的用户登录,但不成功。我打算将此日志数据用于地理封锁活动。
任何帮助将不胜感激,对于这样一个初学者问题感到抱歉。
提前致谢
azure - Azure Sentinel 参与者角色在 Azure 上的管理角色中不可用
根据此链接,azure sentinel 应该有 3 个内置角色。但是,全局管理员帐户无法在 Azure 的管理角色中看到它们中的任何一个。
azure-sentinel - MS 高级威胁分析导入 Azure Sentinel
我需要将本地 MS ATA 服务器收集的数据导入 Azure Sentinel。我无法找到有关执行此操作的正确方法的文档。目标是导入在 ATA 服务器上收集的所有数据,而不仅仅是有关该特定服务器的日志。任何帮助将不胜感激。
azure - 将 Azure 资源日志路由到多个 Log Analytics 工作区
我们正在 Azure 中构建日志记录,并且有多个需要访问日志记录的用户组。多个用户组需要一些日志,但并非所有用户都应该有权访问所有日志。最后,我们认为我们希望为每个用户组(一些使用 Azure Sentinel 的工作区)建立一个日志分析工作区,以容纳他们需要的日志。
希望我们可以将所有日志发送到事件中心之类的东西,然后将日志从那里路由到不同的日志分析工作区,例如:
- 日志源 A 发送到事件中心并发送到日志分析 A
- 日志源 B 发送到事件中心并发送到日志分析 B
- 日志源 C 发送到事件中心并发送到日志分析 A
这将给出:
- 用户组 A 有权访问日志分析 A(日志源 A 和日志源 C)
- 用户组 B 有权访问日志分析 B(日志源 A 和日志源 B)
在线阅读,我没有找到从事件中心到日志分析的任何开箱即用的集成,我能找到的最接近的是将 Logstash 之类的东西放在事件中心和日志分析之间。
关于我们如何最有效地构建我们的日志环境以将日志发送给需要它的用户组的任何建议?
欣赏洞察力!
TR
kql - 包含来自另一个查询的数据的 Azure Sentinel Kusto 查询表
我正在尝试找到一种方法来使用 Azure Sentinel 将所有 DNS 结果拉到基于安全警报的域中。
在安全警报表下,它们提供了作为 JSON 一部分的事件的域名,这是用于提取该数据的表。
我想做的是获取该查询,然后查询 DnsEvents 表以查找与表 Name 上的域名匹配的所有查询。查询的一个例子是
如何执行第二个查询但使用第一个查询中的数据进行过滤?
azure - 不使用 IN 运算符从另一表的列中搜索一列的子字符串
我在 Azure 中有两个表,其中一个是 URL 列表,另一个只有域名。我希望能够检查 URLtable 中的 URL 是否“包含”来自 DomainName_table 的域名。不能使用“in”运算符,因为永远不会有完全匹配。 下面的虚拟表:
我还尝试拆分 URL 以提取域名:
这也不是一个好方法,因为它也可以是“xyz.abc456.com”并且它不会返回匹配项。几乎总是返回 0,因为 URL 永远不可能完全匹配。
两者之间也没有可用于连接的公共列。 基本上是从另一个表的列中搜索一列的子字符串。
谁能建议我如何做到这一点?感谢您的 KQL-fu。