问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 将日志发送到多个 Azure Log 分析工作区
我的工作中有一个场景,我需要将来自 Azure 上的多个资源的日志发送到单个日志分析工作区以实现合规性,然后将相同的日志摄取到 Azure Sentinel 工作区以用于 SIEM 服务,但是我无法在第一个工作区上启用 Azure Sentinel ,请提供任何线索或解决方案。
azure - 使用 Powershell 错误自动部署 Azure Sentinel
https://github.com/javiersoriano/sentinel-all-in-one/blob/master/README.md 这基本上就是我想要做的。我正在尝试将 SIEM、Azure Sentinel 部署到客户环境的过程自动化以节省时间,但我收到这些错误并且不会处理。我在同一个文件夹中获得了 JSON 文件和 ps1 文件。 错误 1
我在上图中收到这些消息。然后它继续下一步,希望我使用我的 Azure 帐户登录。我认为我没有登录,但是当我单击输入时它会继续进行而不询问。然后我在下面收到这些错误:
azure - 存储在 Azure Sentinel 监视的存储帐户中的日志
我想了解我是否将日志从日志分析工作区发送到 azure 中的存储帐户,这些日志是否有可能在使用存储连接器时由 Azure sentinel 监视,或者 azure sentinel 仅监视存储帐户日志
azure - 显示“在模块中找到命令,但无法加载模块”的错误消息。
https://github.com/javiersoriano/sentinel-all-in-one#getting-started
大家好,我正在尝试使用 Powershell 来自动化在环境中部署 Azure Sentinel 的过程。我有 .ps1 文件和 .json 文件。当我运行脚本时,我收到一条错误消息:
“在模块 'AzSentinel' 中找到命令,但无法加载该模块。” 错误消息 有人知道这里可能是什么问题吗?
jupyter-notebook - 如何同时将 kqlmagic 连接到多个 Log Analytics 工作区?
在我的 Jupyter 笔记本中,我想针对不同的 Sentinel 工作区运行相同的 KQL 查询,并将结果作为数据帧进行比较。是否有一种简单的方法可以同时连接多个工作区,还是每次更改 KQL 查询时都需要重新连接并单独查询每个工作区?
azure-log-analytics - 将日志发送到多个 Azure Log 分析工作区
我正在尝试将 Windows 虚拟机发送到 Azure 云中的多个工作区,因为要求是为所有日志收集创建一个中央工作区,并为第二个工作区创建仅收集到板载哨兵的安全日志。对于将日志载入中央工作区,我们正在使用 Azure 策略。但如果我们可以通过任何自动化或其他方式来实现这一目标,那么如何为同一台机器执行多宿主并没有得到确切的说明
如果提供任何建议会很棒
jupyter-notebook - 如果 kqlmagic 查询失败,我如何以编程方式判断?
我正在遍历 Log Analytics 工作区列表以对它们运行查询,然后连接结果。
如果我因任何原因收到错误,则 _kql_raw_result_ 不会改变。这意味着当我在循环末尾追加结果时,该行将填充上一次迭代的结果。如何检查循环内的故障?
我认为 try/catch 块可能会有所帮助,但这似乎无法捕捉到 jupyter 魔法块内的东西
KqlError: {"error":{"message":"请求的路径不存在","code":"PathNotFoundError","correlationId":"xxxxxx"}}
logging - 我们如何从日志中获取哨兵实体,我们对实体的 KQL 查询是什么,哨兵 ID 信息
需要 KQL 查询来记录实体、哨兵 ID、创建日期
创建日期 Sentinel ID 实体上次更新用户分配信息
azure - 在嵌套 Sentinel 部署的情况下模板验证失败(由于dependsOn)
我想创建一个 ARM 模板来部署以下内容:
- 资源组
- 资源组中的 Log Analytics 工作区 + 在其上启用 Sentinel
- 用于启用 MSSP 访问 Sentinel 的 Lighthouse 代码
要执行第三步,我需要使用 subscriptionDeploymentTemplate.json 架构,但对于两个我也需要资源组,所以我想使用 deploymentTemplate.json 架构。
我有单独做这些东西的代码,但我想把它们放在一起创建一个大模板文件。
问题是,当我将 LAW + Sentinel 启用代码放入 Microsoft.Resources/deployment 资源时,我的代码不起作用。我想将其部署为嵌套模板,因此我可以使用 deploymentTemplate.json 模式。当我将代码放入此资源时,它会在模板验证期间产生错误。它说:“部署模板验证失败:'资源'Microsoft.OperationalInsights/workspaces/workspace_name'未在模板中定义。”
但是当没有嵌套时,相同的代码也可以工作。那么,在嵌套的情况下依赖函数不起作用是否正常?对我来说,在其他类型的资源的情况下似乎没有问题。但是在这里,当我尝试部署“Microsoft.OperationalInsights/workspaces”然后部署“Microsoft.OperationsManagement/solutions”时它不起作用。
代码的相关部分:
因此,如果我将这些资源放在“Microsoft.Resources/deployments”类型中,则似乎在模板验证期间,dependsOn 不起作用。
正常吗?如果是这样,是否有我可以用来解决此问题的解决方法?或者将这三件事实现到 1 个 ARM 模板中的最佳方法是什么。
azure - 如何在 Azure Sentinel 中获取 OfficeActivity 架构的文件哈希?
我已经彻底检查了这个问题的答案,但运气不佳。似乎无法从 OfficeActivity 架构中获取任何算法的文件哈希。虽然,我在这里发布这个问题来验证我没有错过任何东西!