查询我正在尝试为一台主机上的用户在多次登录失败后成功建立警报。 我得到一个产生不正确结果的查询。 目前它产生了一个用户有多个主机的结果有人可以帮我查询吗? 示例日志: 示例日志 ...
查询我正在尝试为一台主机上的用户在多次登录失败后成功建立警报。 我得到一个产生不正确结果的查询。 目前它产生了一个用户有多个主机的结果有人可以帮我查询吗? 示例日志: 示例日志 ...
以下是从 Cisco Secure Workload(以前称为 Tetration)进入 Sentinel 的系统日志消息示例: 由于目前没有适用于该产品的现有解析器,因此在解析时需要帮助。 看起来涉及 JSON,但不确定我是否应该使用extractjson或parse_json 。 我已经启动了 ...
我需要帮助来提取特定用户的第一个和最后一个活动的数据。 例如,查看第一个活动是否是 Microsoft 团队以及何时。 最后一次活动是什么时候,哪一次我试过了,它提供了所有的活动。 我想不出使查询只投影第一个和最后一个活动的方法。 实际的。 ...
我使用以下代码对 Log Analytics Workspace、Sentinel 进行了地形化: 我打算按照以下步骤对剧本权限配置进行地形化。 Go 到 Azure Sentinel -> 配置 -> 设置 -> Playbook 权限 -> 配置权限检查“当前权限”选 ...
我有一个 PowerBI 仪表板,它在刷新时从 Sentinel 中提取数据,并刷新“表”中的数据。 当它这样做时,它会删除现有数据,并导入快照(仅限于 90 天滚动 window - 不受我控制)。 是否可以将此查询转换为将新数据与现有表合并,或者 append 它,然后在添加后删除重复项 - 这 ...
我正在尝试使用 Terraform 为哨兵解决方案部署一些哨兵自动化规则。因为自动化规则的名称需要一个 UUID,所以我为每个自动化规则使用random_uuid资源来为自动化规则的名称生成一个 UUID。 代码如下所示。 我想知道有没有办法通过单个 random_uuid 资源或类似资源为我的自 ...
我有一个基本的 azure 警报,它查看 VM 的 windows 日志,并确定是否应在检测到特定事件 ID 时触发警报Event | where EventID == "500" | summarize arg_max(TimeGenerated, *) by ParameterXml | pro ...
我有以下内容。 我试图提取一个值,但无论我如何尝试提取它,我都一无所获。 ...
在此处输入图像描述这个地方有问题,“对 Azure 资源的身份验证”不确定我应该在哪里定义工作区。 我认为这在第 2 行中已涵盖。 我尝试添加工作区 ID ...
我正在使用 API 在 Azure Sentinel 中创建一个事件并且它工作成功但我想添加带有 API 请求的 alertproductnames 以让它在 azure sentinel 中可见。 这是 API URL:PUT https://management.azure.com/subscr ...
我正在尝试重构通过 Terraform 使用sentinel_alert_rules配置azure_sentinel_solution的代码。 由于每个警报规则都有大量查询,我想知道是否有办法将它们拆分到单独的文件夹中。 我正在寻找如下结构。 并在我的 main.tf 文件中使用 rule_1_qu ...
使用监视列表存储要从该查询中排除的域。 但是无法从结果中过滤掉监视列表中的域。 处理 SMTPS。 监视列表项目不包含“@”符号。 监视列表示例: 搜索键 SMPT hotmail.com hotmail.com gmail.com gmail.com 评论是我的尝试。 如果需要的不是部分匹 ...
我正在尝试在 KQL 中创建一个 ifelse 语句,但我找不到关于是否可以执行我正在尝试的操作的文档。 基本上我想做的是仅在满足条件(EventResults =“成功”)时进行总结,如果不满足则进行另一次总结。 SrcDvcIpAddr 总结 SuccessCount=count(), Su ...
尝试清理从 syslog 进入 Sentinel 的一些列,并致力于从 UTC 更改为本地时间。 这是我到目前为止的一个例子: 我期望的是两列,一个名为 pacific_dt,另一个名为 PacificTime。 但是,当显示 output 时,两个列名称都附加了 [UTC]。 有没有办法删除附加 ...
目前正在尝试编写一个 Sentinel 分析,当新用户添加到风险用户列表时将触发该分析。 最初,我使用了 AADRiskyUsers 表,但得到了一些重复项并且还缺少一些用户。 现在我正在使用 AADUserRiskEvents 表,因为此表中的相关 ID 对应于关联的登录 session。但我仍 ...
我正在为一个项目设计一个监控解决方案,并想为某些资源(例如应用程序洞察)创建一些警报规则。 如果我想设置一个日志搜索警报,我需要定义一个特定的查询并告诉警报要做什么。 但是,我以前没有写过日志查询警报,也不知道如何设置它。 目前,我已经在 Bicep 中编写了一个日志搜索示例: 查询目前仍然是空的, ...
我正在尝试创建一个检测规则,它将接收来自 MCAS 的警报并从该事件中提取用户并执行 SigninLogs 查询以检查该用户是否使用了特定的用户代理。 我试过使用 union 合并两个表,但我的 where 子句不起作用。 而一无所获。 基本上我希望找到用户是否在 SigninLogs 上使用了特定 ...
我是 kql 和 defender 的新手,正在寻求帮助创建一个 hunting kql 查询,该查询检查过去 7 天端点端点上 defender 的平均警报数量,以及是否在任何时间生成的警报数量激增并超过 1 周平均警报数,它应该触发警报。 现在我有了这个,但它只是检查固定阈值 (10),是否可以 ...
我正在尝试使用连接器(仍处于预览状态)获取给定监视列表的所有监视列表项。 我的监视列表中有 150 个元素,我正确地获得了前 100 个项目,但我没有获得最后 50 个项目,我很确定连接器没有处理分页,在输出中我有一个“nextlink ",但我不知道我是否可以用它来获取休息物品。 有没有人有办法 ...
我是使用 Kusto 的新手,所以我想通过不同端口中的相同源 ip 对不同网络连接进行列表分组。 例如,我有一张这样的表: 源IP 目的IP 目的端口 192.168.1.1 10.0.0.1 80 192.168.1.1 10.0.0.2 8080 192.168.1.1 10.0. ...