标签[azure-sentinel] - 堆栈内存溢出

有人可以帮助我使用 KQL 查询在 Azure Sentinel 中创建登录失败警报吗？ - Can someone assist me with my KQL query to create an alert for login failures in Azure Sentinel?

查询我正在尝试为一台主机上的用户在多次登录失败后成功建立警报。我得到一个产生不正确结果的查询。目前它产生了一个用户有多个主机的结果有人可以帮我查询吗？示例日志：示例日志 ...

从 syslog 数据中提取 JSON 的 Sentinel KQL 查询（来源是 CSW / Tetration） - Sentinel KQL query to extract JSON from syslog data (source is CSW / Tetration)

以下是从 Cisco Secure Workload（以前称为 Tetration）进入 Sentinel 的系统日志消息示例：由于目前没有适用于该产品的现有解析器，因此在解析时需要帮助。看起来涉及 JSON，但不确定我是否应该使用extractjson或parse_json 。我已经启动了 ...

Sentinel 中的 KQL 查询为用户提取一天中的第一个和最后一个活动 - KQL query in Sentinel to pull first and last activity in a day for user

我需要帮助来提取特定用户的第一个和最后一个活动的数据。例如，查看第一个活动是否是 Microsoft 团队以及何时。最后一次活动是什么时候，哪一次我试过了，它提供了所有的活动。我想不出使查询只投影第一个和最后一个活动的方法。实际的。 ...

如何通过terraform在azure sentinel中添加playbook权限？ - How to add playbook permissions in azure sentinel via terraform?

我使用以下代码对 Log Analytics Workspace、Sentinel 进行了地形化：我打算按照以下步骤对剧本权限配置进行地形化。 Go 到 Azure Sentinel -> 配置 -> 设置 -> Playbook 权限 -> 配置权限检查“当前权限”选 ...

将 PowerBI Query 转换为 append 数据并去除重复项，而不是覆盖整个表 - Convert PowerBI Query to append data and remove duplicates, rather than overwrite the whole table

我有一个 PowerBI 仪表板，它在刷新时从 Sentinel 中提取数据，并刷新“表”中的数据。当它这样做时，它会删除现有数据，并导入快照（仅限于 90 天滚动 window - 不受我控制）。是否可以将此查询转换为将新数据与现有表合并，或者 append 它，然后在添加后删除重复项 - 这 ...

有没有办法使用 Terraform 中的一个 `random_uuid` 资源生成一组随机 UUID - Is there a way to generate a set of random UUIDs using one `random_uuid` resource in Terraform

我正在尝试使用 Terraform 为哨兵解决方案部署一些哨兵自动化规则。因为自动化规则的名称需要一个 UUID，所以我为每个自动化规则使用random_uuid资源来为自动化规则的名称生成一个 UUID。代码如下所示。我想知道有没有办法通过单个 random_uuid 资源或类似资源为我的自 ...

KQL Azure 警报仅在未记录其他事件时触发 - KQL Azure Alert only fire if other event has not been logged

我有一个基本的 azure 警报，它查看 VM 的 windows 日志，并确定是否应在检测到特定事件 ID 时触发警报Event | where EventID == "500" | summarize arg_max(TimeGenerated, *) by ParameterXml | pro ...

如何从 Azure 逻辑应用程序中的 json 中提取单个值：？ - How to pull a single value from json in Azure Logic Apps:?

我有以下内容。我试图提取一个值，但无论我如何尝试提取它，我都一无所获。 ...

Azure 工作簿 - 向 Azure 资源进行身份验证 - Azure Workbook - Authenticate to Azure Resources

在此处输入图像描述这个地方有问题，“对 Azure 资源的身份验证”不确定我应该在哪里定义工作区。我认为这在第 2 行中已涵盖。我尝试添加工作区 ID ...

如何将 alertProductNames 添加到 Azure Sentinel 中的事件 - how to add alertProductNames to an incident in Azure Sentinel

我正在使用 API 在 Azure Sentinel 中创建一个事件并且它工作成功但我想添加带有 API 请求的 alertproductnames 以让它在 azure sentinel 中可见。这是 API URL：PUT https://management.azure.com/subscr ...

将 Terraform 脚本中的局部变量分离到多个文件夹 - Separating local variables in a Terraform Script to multiple folders

我正在尝试重构通过 Terraform 使用sentinel_alert_rules配置azure_sentinel_solution的代码。由于每个警报规则都有大量查询，我想知道是否有办法将它们拆分到单独的文件夹中。我正在寻找如下结构。并在我的 main.tf 文件中使用 rule_1_qu ...

KQL：使用 Sentinel 监视列表从结果中排除部分字符串 - KQL: Exclude partial string from results using Sentinel Watchlists

使用监视列表存储要从该查询中排除的域。但是无法从结果中过滤掉监视列表中的域。处理 SMTPS。监视列表项目不包含“@”符号。监视列表示例：搜索键 SMPT hotmail.com hotmail.com gmail.com gmail.com 评论是我的尝试。如果需要的不是部分匹 ...

KQL azure 分析中的 IFF function？ - IFF function in KQL azure analytics?

我正在尝试在 KQL 中创建一个 ifelse 语句，但我找不到关于是否可以执行我正在尝试的操作的文档。基本上我想做的是仅在满足条件（EventResults =“成功”）时进行总结，如果不满足则进行另一次总结。 SrcDvcIpAddr 总结 SuccessCount=count(), Su ...

如何从 KQL 中的列表中删除 [UTC] - How to drop [UTC] from a column table in KQL

尝试清理从 syslog 进入 Sentinel 的一些列，并致力于从 UTC 更改为本地时间。这是我到目前为止的一个例子：我期望的是两列，一个名为 pacific_dt，另一个名为 PacificTime。但是，当显示 output 时，两个列名称都附加了 [UTC]。有没有办法删除附加 ...

编写 Microsoft Sentinel 分析以在新用户添加到风险用户列表时发出警报？ - Writing a Microsoft Sentinel analytic to alert when a new user is added to the risky user list?

目前正在尝试编写一个 Sentinel 分析，当新用户添加到风险用户列表时将触发该分析。最初，我使用了 AADRiskyUsers 表，但得到了一些重复项并且还缺少一些用户。现在我正在使用 AADUserRiskEvents 表，因为此表中的相关 ID 对应于关联的登录 session。但我仍 ...

日志查询警报示例 - Log Query Alert Example

我正在为一个项目设计一个监控解决方案，并想为某些资源（例如应用程序洞察）创建一些警报规则。如果我想设置一个日志搜索警报，我需要定义一个特定的查询并告诉警报要做什么。但是，我以前没有写过日志查询警报，也不知道如何设置它。目前，我已经在 Bicep 中编写了一个日志搜索示例：查询目前仍然是空的， ...

具有两个表的 Sentinel Analytics 规则 - Sentinel Analytics Rule with two tables

我正在尝试创建一个检测规则，它将接收来自 MCAS 的警报并从该事件中提取用户并执行 SigninLogs 查询以检查该用户是否使用了特定的用户代理。我试过使用 union 合并两个表，但我的 where 子句不起作用。而一无所获。基本上我希望找到用户是否在 SigninLogs 上使用了特定 ...

KQL - 每小时检查一次值，看它是否高于一周平均值 - KQL - Check value every hour to see if it's higher than the week average

我是 kql 和 defender 的新手，正在寻求帮助创建一个 hunting kql 查询，该查询检查过去 7 天端点端点上 defender 的平均警报数量，以及是否在任何时间生成的警报数量激增并超过 1 周平均警报数，它应该触发警报。现在我有了这个，但它只是检查固定阈值 (10)，是否可以 ...

Azure 逻辑应用获取给定监视列表的所有监视列表项 - Azure Logic apps getting all Watchlist Items for a given watchlist

我正在尝试使用连接器（仍处于预览状态）获取给定监视列表的所有监视列表项。我的监视列表中有 150 个元素，我正确地获得了前 100 个项目，但我没有获得最后 50 个项目，我很确定连接器没有处理分页，在输出中我有一个“nextlink "，但我不知道我是否可以用它来获取休息物品。有没有人有办法 ...

使用列表 KQL 对数据进行分组 - Group data using list KQL

我是使用 Kusto 的新手，所以我想通过不同端口中的相同源 ip 对不同网络连接进行列表分组。例如，我有一张这样的表：源IP 目的IP 目的端口 192.168.1.1 10.0.0.1 80 192.168.1.1 10.0.0.2 8080 192.168.1.1 10.0. ...