问题标签 [azure-sentinel]

如何在 KQL 中操作字符串的输出？例如，我有一个查询来查找特定设备组的登录用户，这是我收到的输出。我只希望用户名显示在输出中。

[{"用户名":"djlskjfdl","域名":"kfjgldkjfg","Sid":"jldfkgjfd2"}]

当管理员帐户（使用 where 语句找到）在 5 分钟内登录到多个工作站时，我需要提供一个结果列表，这将在 24 小时内发出可疑活动的信号。现在，我只是使用必要的信息记录了每 5 分钟发生一次不同事件的时间。我需要做的就是做到这一点，以便出现的唯一结果是当同一帐户在不同工作站上的最后一次不同活动的 5 分钟内登录到不同工作站时，但我只是不确定如何去吧。

示例数据：

由于同一帐户在 5 分钟内登录到另一台计算机，因此预期输出仅为最后 2 条日志。如果可能的话，我也只想生成一个日志作为 count() 记录该帐户登录的次数，以及 5 分钟内有多少台不同的计算机

任何建议都有帮助，谢谢！

最近我在我的 Microsoft 云应用程序安全 (MCAS) 门户上收到了一个安全事件Data exfiltration to an app that is not sanctioned当我向下钻取时，我发现了 Microsoft Live 应用程序

谁能帮我理解这个应用程序是什么以及为什么它显示数据泄露事件？

我还没有收到 Sentinel 中特定列的数据（我们称之为 A 列）。

我现在想创建一个分析规则，当我收到包含此行 A 的实例时将触发警报。

但是，这会出错，因为它说（并且它是正确的）该列不存在。

是否有其他运算符可以使用，或者我是否必须发送包含该行的示例数据实例才能将其添加到mytable表中？

我试图在哨兵中做一个新的用例来提醒：同一用户从 OneDrive 或共享点下载的大量文件

我发现我试图修改但没有成功的这个用例：

此用例警报仅从新用户下载，并且仅从共享点下载，我想对普通用户进行此操作，例如在 onedrive 中也下载了 20 个文件。

你可以帮帮我吗？

太感谢了！

我为此绞尽脑汁，希望得到一些帮助。:)

我想知道如何将通配符（*）用于加入联合参数。

我需要在字段中加入两个具有相同名称的表，但是，某些字段可能带有通配符（*），因为对于这个字段，我希望所有字段都经过验证。

我的例外表：

我的数据表：

运行时，它不会带来任何结果。

对于这个联合，我想考虑3个联合字段，即基于异常表，如果computer_name是Pc_01，logon_type是4，不管event_id是什么，都应该显示这个日志，因为异常中的eventi_id字段列表是通配符（*）。

我没有找到解决这个问题的方法，因为连接条件只允许“==”和“and”。

是否可以通过 Powershell 管理 Azure Sentinel Watchlists，例如带有 ? 的规则Az.SecurityInsights？

目的是将监视列表引用保留在外部 VCS 中以便于操作，并将其与 Powershell 同步到远程。

谢谢，

我想知道是否有办法使用 Azure AD 服务主体将数据从 Sentinel/Log 分析提取到 powerbi

我找到了以下视频，但这对我不起作用，因为我在一个工作区中有多个客户报告

https://www.youtube.com/watch?v=HGpfwpjlMro

我需要/想要使用变量调用（交叉）LogAnalytics 工作区。类似于以下内容：

让 work_id="xyz";

工作区（work_id）.Syslog

我在一个变量中声明了工作区值，并在表达式的参数中传递了该变量，但它不起作用。:( workspace("") 表达式是否只接受在表达式中传递直接值，它不接受包含字符串值的变量吗？

这就是它的工作方式，workspace("xyz").Syslog，但我需要通过变量将值传递给我正在开发的编程过程。

有没有 azure sentinel 的替代品，因为它非常昂贵。任何关于这方面的建议对我都非常有帮助