问题标签 [azure-sentinel]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
dynamics-crm - 从另一个表中获取一个值
我目前正在学习 KQL,并且对 SQL 的知识只有初级水平。
我有一个名为 Dynamics365Activities 的表,其中包含以下列:
- UserID(执行操作的人的用户名)
- SystemUserID(执行操作的用户名的对象 ID)
- 操作(用户执行的操作类型)
- EntityID(执行操作的人的 SystemUserID [或对象 id])
我想获取执行操作的人的用户名,而不是对象 ID。以下是我构建的 KQL:
此 KQL 正在返回冗余结果。任何帮助将不胜感激
regex - 如何使用正则表达式使用两个不同的分隔符将字段值拆分为多个值
我在 Sentinel 中有一个日志源,它在同一个日志中以两种不同的方式分隔数据,例如-`$60.
到目前为止,我已经尝试过:
也:
这些方法都没有被证明是有效的。还有其他想法吗?
提前感谢您的洞察力!
azure-data-factory - 是否有任何 Lync 服务或连接器可用于 Azure Sentinel 或 Azure Log Analytics 以连接 Azure 数据工厂
我需要以增量方式从 Azure Sentinel 中提取数据。
例如:
- 第 1 步:需要从 Sentinel 到我的 UI 的每日登录详细信息(使用 KQL)
- 第 2 步:从 ADF 创建管道
- 第 3 步:将数据加载到表中
是否有任何可供 Azure Sentinel 或 Azure Log Analytics 连接 Azure 数据工厂的 Lync 服务或连接器?
kql - 使用 KQL 中的可重用函数将一列拆分为多列
我对 KQL 很陌生,我可能对我用来解决这个问题的方法有完全错误的想法,所以请随时提出更好的方法,但我会尽力解释我想要实现的目标.
我正在用许多不同的查询查询一个特定的数据集,但一个一致的事情是需要将其中一列从一个疯狂的文本字段解析为多个列。
原始数据的列是“计算机”、“用户”之类的东西,然后是一个像这样的大字符串字段:
所以我定义了一个函数(当不在函数中运行时有效)将该字符串列解析为多个字符串列:
所以现在我想输出一个新表,它是“Computer”、“User”、“resourceName”、“totalSlices”、“sliceNumber”、“lockTime”、“releaseTime”、“previousLockTime”,例如原始表但有这一列解析出来。
我试过这样的事情:
但它会给出错误
有没有办法将一个表添加到这样的 2 个现有列中,或者我是在吠叫错误的树吗?
笔记:
如果我根本不使用函数而只使用另一个管道并在那里进行解析,这确实有效。问题是我将在我所做的几乎每一个查询中使用这种类型的解析,我觉得每次写出整个事情可能真的很混乱/耗时!希望一切都有意义。
谢谢 :)
kql - 我可以将字符串转换为 KQL 命令吗?
是否有这样一个函数“ run_query ”可以将字符串输入转换为 KQL 代码?
azure-log-analytics - TimeGenerated 字段不采用提供的日期
我正在编写自定义日志以进行日志分析。
基于以下链接:
https://docs.microsoft.com/en-us/azure/azure-monitor/logs/data-collector-api#create-a-request
我应该能够在请求标头中使用一个名为:的字段time-generated-field,文档说:“如果您指定一个字段,其内容将用于 TimeGenerated。如果您不指定此字段,则 TimeGenerated 的默认值是时间消息已被摄取。消息字段的内容应遵循 ISO 8601 格式 YYYY-MM-DDThh:mm:ssZ"
我正在传递以下值:(2021-11-11T19:52:45Z作为字符串,因为您不能将其作为日期时间对象传递)但问题是当我查看日志分析工作区时,TimeGenerated 字段是这个(今天的日期):2021-12-01T18:41:04.529Z这是事件被摄取的日期时间,所以基本上,它没有占用2021-11-11T19:52:45Z我在标题中传递的真实事件生成时间。
我在这里做错了吗?
任何帮助将不胜感激,我在这里没有想法了。
kql - Azure Sentinel 引用大量数据
我一直在努力寻找最有效(优雅)的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。
情况:
- 需要在 Sentinel 上丰富 IP 地址记录。示例:成功的 SigninLogs,因为 MSFT 扩充有时会在 IP 扩充映射中生成“未知”结果。
- 外部参考文件(子网、国家代码、国家名称)是公开的,但是记录的大小和数量相当大。(~12MB,200K+记录)。
问题:
- 尝试使用存储帐户 blob 托管“参考表”,显然达到了最大限制。存储帐户中的 blob 大小。
- 看起来有最大值。使用“externaldata”命令从外部源读取工作簿上的 30.000 条记录。因此,只能读取和参考部分参考数据。
考虑的选项:
- 将参考表提取到日志分析工作区,对此自定义参考表进行联接/查找以进行丰富
- 将 SigninLogs 表中的 IP 地址导出到 blob 存储,使用 logicapps 丰富 IP 地址,然后将其放回“参考”blob 存储。然后使用“externaldata”语法读取“参考”blob 存储。
观察到的限制:
- 意识到 Sentinel 无法执行 API 调用以丰富外部数据。(CMIIW)。我用 Splunk 做过类似的事情,我们可以通过调用对外部数据库的多个 API 调用来动态丰富数据。
azure-sentinel - 测试 MS Sentinel Fusion Alert?
有没有人能够测试 MS Sentinel Fusion Alert?
我不知道如何生成一个测试来查看输入 Splunk 的数据是什么样的。
kql - 将相似的列结果分组为 1 行 - KQL - Azure
我不知道如何转这个:
进入这个:
本质上,我试图总结每个 IP 地址的目的地(将相似的 IP 地址分组,而不是每个结果显示 20.20.8.7 3 次)我无法弄清楚要传递给“总结”的聚合,任何想法或链接文档会很有帮助。
azure-data-explorer - 如何使用 Kusto 查询语言打印树?
下面是一个快速而乏味的解决方案。
如果您有更好的答案,请将其包含在您的答案中。
如果你需要一些灵感: