问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 在逻辑应用中转义和删除字符(动态内容)
我一直在尝试从 REST API 获取数据,然后使用逻辑应用将其添加到 Azure 中的 Log Analytics。我的问题是,我似乎需要将请求正文中的某些字符转义到 Log Analytics,因为我收到 400 错误消息:
{“错误”:“无效数据格式”,“消息”:空}
我已经检查过了,JSON 正文无效。
我的 JSON 请求正文如下所示:
实际请求如下所示:
问题似乎是反斜杠和段落元素。
我想转义“key”和“proof”中的反斜杠并删除段落元素。我试图寻找解决方案,但大多数示例都使用静态字符串和替换功能。
有任何想法吗?
azure - 如何编写 Kusto 查询以在哨兵中获取上个月的日志?
| where TimeGenerated > ago(30d)
只给我最近 30 天的日志,我正在搜索查询以从表中获取上个月的日志,因此我可以将其直接导出到 Power BI。
azure - 关闭 Azure Sentinel 事件时是否可以收到电子邮件通知?
我想在关闭 azure sentinel 中的事件时发送电子邮件 - 或在我所做的任何更新(如更改严重性或分配)上 - 这是否可能或有人可以建议任何解决方法?
谢谢!
elasticsearch - 有没有办法将数据从 graylog 泵入 Azure 日志分析或 Azure Sentinel?
我正在寻找一种将日志从 elasticsearch/graylog 泵入 Azure Log Analytics 或 sentinel 的方法。
kql - 将字符串解析为属性包并遍历其键以在扩展列中显示其值
我正在摄取一个日志,最终在“AdditionalExtensions”字段中放置了很多好的数据。这是一个数据示例:
操作=允许;用户=test.test@test.com;SrcIpAddr=192.168.1.146;SrcPortNumber=64694
我试图弄清楚是否有办法,一旦我 split(AdditionalExtensions,";") 将 split() 函数产生的字符串数组转换为一个属性包,然后遍历它的键,有点什么在 python 中是:
但当然,我必须将其密钥扩展到例如 Action、User、SrcIpAddr、SrcPortNumber,这样我最终可以得到类似的结果:
最终结果是:
如果这是不可能的,那么在 KQL 中更有效的是使用这个:
或者不使用extract(),而是使用substring(),而是使用indexof()来告诉子字符串我想从等号所在的索引开始,然后到字符串的末尾
AdditionalExtensions 字段中有大约 30-40 个字段,我希望对重要的日志进行彻底的处理,我可能需要及时返回很多时间,我不希望返回 2 小时的查询停止,更不用说必须回溯 7 天或更长时间,KQL 在回溯时失败了很多,当然不像 Splunk,但我现在正在开发这个产品。
azure - Microsoft Defender for Endpoint 数据将 Endpoints 数据编译为可视电子邮件报告
我正在寻找一种解决方案:
答:将来自 DfE 的Endpoint 数据整合到电子邮件报告中,保留样式和 Endpoint 数据可视化。
B:一种复制和粘贴方法,本质上是获取指标并将它们导入Azure Sentinel仪表板。
我知道这可以通过 Azure Sentinel 数据连接器和查询 DfE 日志来实现,但是,我想知道是否有另一种解决方案可以保持在 DfE 中创建的可视化。
我已阅读有关此的 Microsoft 文档,但尚未找到解决方案。我感谢任何帮助和指导!
Ps 当我使用 DfE 首字母缩写词时,我指的是 Defender 365 Endpoints。
kql - 使用 KQL 在 azure sentinel 工作簿中创建磁贴
我正在使用此查询在工作簿中显示我想要的内容,但我希望将各个图块的值分别设置为非常高、高、中等。但是当我编写此查询并在可视化中打开图块时,它不会给出me 选项为磁贴设置中的每个变量创建磁贴。我能做些什么来实现这一目标?
security - 如何检测何时发生安全事件
刚刚获得了一个新职位,我将负责在安全方面进行一些系统集成和自动化。我从来没有做过任何集成或自动化,所以这是我的第一个牛仔竞技表演。我可以使用以下工具:
- 缩放器
- 蔚蓝哨兵
- 微软云应用安全
- 微软电源套件
- 麦咖啡EPO
我得到了一份需要完成的行动项目清单。他们中的许多人需要在事件发生后立即做出响应,这就是我迷失的地方。例如,假设 Zscaler 检测到 IA 感染,我们希望一旦检测到 X 和 X 动作就会发生。如何确保我们的系统在事件发生后立即收到警报?我猜这是查询 API 的问题,但是使用我拥有的工具进行设置的正确方法是什么?
azure - 在 KQL 中是否有“strcat_if”函数?
我一直在使用 Defender ATP,并解析了多个列,但由于电子邮件安全,我不得不解析格式为“potentialPhishURL”和“potentialPhishURL_vendor”的单独列,这样做我现在有两列,通常当供应商已将 shim 应用于 URL,标准解析失败,因此 strcat("potentialPhishURL", "potentialPhishURL_vendor") 不起作用,因为有时两个字段都被填充。
当这两个列都被填充(potentialPhishURL 和 potentialPhishURL_vendor)时,它们显然会令人厌恶地合并,而不是我需要的方式(唯一值或 strcat_if 为空)我猜。
有没有人对此有任何经验?当同一行中的一列为空时,合并 KQL 中的几列?
如果可以的话,感谢您的阅读/帮助!
CB
azure - 显示来自特定日志的先前日志的 KQL 查询
我正在处理一个查询,我需要其中包含“Compromised”消息的日志,然后我希望它返回前面的 5 个“拒绝”日志。刚接触 KQL,只是不了解操作员,因此感谢您的帮助!
当前查询:
理想情况下,在我的脑海中会是这样的:
需要查询:
谢谢!