问题标签 [azure-sentinel]

我正在尝试集成来自几个 Cisco Meraki 设备的一些日志。

方法：

Meraki 设备能够使用端口 514 (UDP) 将日志流式传输到远程系统，在这种情况下，运行 Ubuntu-Server 18.04 的 Azure 虚拟机安装了rsyslog ，充当 syslog 服务器。因为这是一个托管 VM，Azure Sentinel/Log Analytics 可以轻松安装所需的代理来提取数据并将它们存储到 Log Analytics 工作簿中。此步骤需要指定 Azure 将侦听的设施。就我而言，它是local0。这样就完成了“Syslog”数据连接。

然后，可以使用自定义 Meraki Kusto 解析器（查询）过滤提取的数据，该解析器会将数据转换为有意义的防火墙友好日志。查询可以存储为别名设置为“CiscoMeraki”的函数。一旦此查询开始提取数据，“Cisco Meraki”数据连接就会被标记为活动。

问题：

我已经设法配置了这个，现在我可以看到来自网络设备的日志（几乎是实时的）。问题是“SyslogMessage”字段中的内容被截断并且与驻留在虚拟机中的日志不匹配。

例子：

• 存储在 VM 中的日志：Mar 24 15:52:36 {MERAKI_IP} 1616601156.382142022 {MERAKI_DEVICE_NAME} events content_filtering_block url='https://laptop-updates.brave.com/...' category0='Shareware and Freeware' server='151.101.193.32:443' client_mac='{PERSONAL_COMPUTER_MAC}'
• SyslogMessage 列：//laptop-updates.brave.com/...' category0='Shareware and Freeware' server='151.101.193.32:443' client_mac='{PERSONAL_COMPUTER_MAC}'

我知道虚拟机中的日志是结构化的，并且将被拆分为列（例如 TimeGenerated、Computer），但丢失的数据不会出现在任何地方。上面提到的自定义解析器会生成空单元格，因为首先无法从 Syslog 表中找到数据。

我们使用 Azure Sentinel 来监控 IaaS 事件日志和 Azure 资源。作为应用程序开发人员，我想使用相同的平台来监控我们的定制应用程序。我想将自定义事件从 Azure 函数或应用服务发送到（最好）一个 HTTP 端点。例如

这是可能的，还是 Azure Sentinel 不是正确的技术？

嗨逻辑应用专家，

我想与您检查一些 foreach 循环行为，并检查这是否是预期的/是否有任何解决方法。

所以这个逻辑应用程序的步骤是“运行查询并列出结果”搜索将搜索 SecurityIncident 表。而对于每一条SecurityIncident记录，在“Using IncidentId-Query Details of the Alert”步骤中找到对应的SecurityAlert记录。

对于第一个查询，数据被正确解析，每个字段都可以使用。

但是，在第二次查询之后，我只能在步骤中使用“Body”和“value”。其中包含未解析的值。

问题：

1. 这种行为是预期的吗？
2. 有没有更好的方法来确保解析第二个查询？
3. 非常感谢任何其他改进建议。

谢谢！

我正在使用 Azure Log Analytics 来查看某些感兴趣的事件。

我想从满足特定标准的数据中获取时间戳，然后在进一步的查询中重用这些时间戳，即查看这些时间周围还发生了什么。

以下查询返回所需的结果，但我不知道如何使用interestingTimesvar 然后在每个先前返回的时间戳的 X 分钟内执行进一步的搜索并显示数据。

任何指针将不胜感激。

来自 ELK 背景，Kibana 有一些不错的功能，您可以在其中查看您希望的任何记录的周围事件https://www.elastic.co/guide/en/kibana/current/discover-document-context.html，即查看5 个先前事件和 5 个后续事件。

Kusto 查询语言中是否存在类似的内容？

编辑：我还应该提到这个要求，因为我意识到它可能存在，但形式不同。

我正在寻找需要在特定时间段内全部发生的几个事件，即前 5 分钟。

例子; 如果 EventID 的 1、2 和 3 显示，我不感兴趣。但是，如果 1、2、3和4 显示（彼此相隔 X 分钟内），那么我希望我的查询能够解决这个问题。

任何提示或提示表示赞赏。

I have a table that has many other columns such as username, hostname, etc. One of the columns also stores a certain Query.

UserQueryTable

When I run a kql such as :

I get:

Note the "some_query_1" value under CustomQuery? That is an actual KQL query that is also part of the table result. I want to find a way where I can retrieve the "some_query_1" and EXECUTE it right after my KQL "UserQueryTable | where Username == "Sam""

That CustomQuery query will give me additional info about my alert and I need to get that Query string from the table and execute it. The CustomQuery in the table looks something like this

So basically the 1st Query returns a result where one of the returned column itself contains Queries and I want to be able to run the returned Queries. The Query_ == CustomQuery

I tried using the User-defined functions but have not been able to come up with something that works. Please help!

问题

我正在使用 ThreatConnect 将 TI 引入 Azure Sentinel，每次更新现有 IOC 时，它都会生成一条带有修改字段的附加记录，并在查询时显示旧记录。例如，我创建了一个置信度分数为 90 的 IOC 并摄取它，后来我将置信度分数更新为 80 并重新摄取它。现在，如果我在日志分析中查询它，它会显示置信度分数为 90 和 80 的两个 IOC，而不是更新旧值。旧记录会显示到保留期。

我尝试了 ThreatIntellegence 摄取的所有方法 - “TI 数据连接器”、“图形 API”和“TI 预览”选项卡，无论来源/方法如何，都得到了重复项。

重现行为的步骤

• 通过数据连接器、图形 API 或 TI 预览选项卡在 Azure Sentinel 中添加 IOC。
• 更新 IOC 并重新摄取。
• 查询 IOC，它将显示旧的和更新的 IOC。

预期行为 更新旧 IOC 后，应该只有更新后的 IOC 和单个条目。

有没有人遇到过同样的问题或知道如何解决这个问题？

在此先感谢您的帮助！

在编写日志分析规则时，它有一个最长为 14 天的回溯时间段的选项。但是，我正在编写与过去 30 天的历史数据相关联的查询/规则，并且由于此限制，我错过了一些潜在的匹配项。

有没有办法增加 14 天回溯限制或解决此问题的解决方法？

我们启用了 Azure 安全中心连接器以接收警报，它显示连接器已启用。但是，数据类型 SecurityAlert (ASC) 显示为断开连接，我们没有收到任何日志。ASC 的分析规则也已创建并启用。有一个安全警报，所以它应该出现在 SecurityAlert 架构中，但什么都没有。

有没有办法在没有 workspace().table 的情况下使用 workspace()

我想返回所有内容并在我的 Kusto 查询中的其他地方进行过滤