有人可以幫助我使用 KQL 查詢在 Azure Sentinel 中創建登錄失敗警報嗎?
[英]Can someone assist me with my KQL query to create an alert for login failures in Azure Sentinel?
查詢我正在嘗試為一台主機上的用戶在多次登錄失敗后成功建立警報。 我得到一個產生不正確結果的查詢。 目前它產生了一個用戶有多個主機的結果有人可以幫我查詢嗎? 示例日志: 示例日志 ...
從 syslog 數據中提取 JSON 的 Sentinel KQL 查詢(來源是 CSW / Tetration)
[英]Sentinel KQL query to extract JSON from syslog data (source is CSW / Tetration)
以下是從 Cisco Secure Workload(以前稱為 Tetration)進入 Sentinel 的系統日志消息示例: 由於目前沒有適用於該產品的現有解析器,因此在解析時需要幫助。 看起來涉及 JSON,但不確定我是否應該使用extractjson或parse_json 。 我已經啟動了 ...
Sentinel 中的 KQL 查詢為用戶提取一天中的第一個和最后一個活動
[英]KQL query in Sentinel to pull first and last activity in a day for user
我需要幫助來提取特定用戶的第一個和最后一個活動的數據。 例如,查看第一個活動是否是 Microsoft 團隊以及何時。 最后一次活動是什么時候,哪一次我試過了,它提供了所有的活動。 我想不出使查詢只投影第一個和最后一個活動的方法。 實際的。 ...
如何通過terraform在azure sentinel中添加playbook權限?
[英]How to add playbook permissions in azure sentinel via terraform?
我使用以下代碼對 Log Analytics Workspace、Sentinel 進行了地形化: 我打算按照以下步驟對劇本權限配置進行地形化。 Go 到 Azure Sentinel -> 配置 -> 設置 -> Playbook 權限 -> 配置權限檢查“當前權限”選 ...
將 PowerBI Query 轉換為 append 數據並去除重復項,而不是覆蓋整個表
[英]Convert PowerBI Query to append data and remove duplicates, rather than overwrite the whole table
我有一個 PowerBI 儀表板,它在刷新時從 Sentinel 中提取數據,並刷新“表”中的數據。 當它這樣做時,它會刪除現有數據,並導入快照(僅限於 90 天滾動 window - 不受我控制)。 是否可以將此查詢轉換為將新數據與現有表合並,或者 append 它,然后在添加后刪除重復項 - 這 ...
有沒有辦法使用 Terraform 中的一個 `random_uuid` 資源生成一組隨機 UUID
[英]Is there a way to generate a set of random UUIDs using one `random_uuid` resource in Terraform
我正在嘗試使用 Terraform 為哨兵解決方案部署一些哨兵自動化規則。因為自動化規則的名稱需要一個 UUID,所以我為每個自動化規則使用random_uuid資源來為自動化規則的名稱生成一個 UUID。 代碼如下所示。 我想知道有沒有辦法通過單個 random_uuid 資源或類似資源為我的自 ...
KQL Azure 警報僅在未記錄其他事件時觸發
[英]KQL Azure Alert only fire if other event has not been logged
我有一個基本的 azure 警報,它查看 VM 的 windows 日志,並確定是否應在檢測到特定事件 ID 時觸發警報Event | where EventID == "500" | summarize arg_max(TimeGenerated, *) by ParameterXml | pro ...
如何從 Azure 邏輯應用程序中的 json 中提取單個值:?
[英]How to pull a single value from json in Azure Logic Apps:?
我有以下內容。 我試圖提取一個值,但無論我如何嘗試提取它,我都一無所獲。 ...
Azure 工作簿 - 向 Azure 資源進行身份驗證
[英]Azure Workbook - Authenticate to Azure Resources
在此處輸入圖像描述這個地方有問題,“對 Azure 資源的身份驗證”不確定我應該在哪里定義工作區。 我認為這在第 2 行中已涵蓋。 我嘗試添加工作區 ID ...
如何將 alertProductNames 添加到 Azure Sentinel 中的事件
[英]how to add alertProductNames to an incident in Azure Sentinel
我正在使用 API 在 Azure Sentinel 中創建一個事件並且它工作成功但我想添加帶有 API 請求的 alertproductnames 以讓它在 azure sentinel 中可見。 這是 API URL:PUT https://management.azure.com/subscr ...
將 Terraform 腳本中的局部變量分離到多個文件夾
[英]Separating local variables in a Terraform Script to multiple folders
我正在嘗試重構通過 Terraform 使用sentinel_alert_rules配置azure_sentinel_solution的代碼。 由於每個警報規則都有大量查詢,我想知道是否有辦法將它們拆分到單獨的文件夾中。 我正在尋找如下結構。 並在我的 main.tf 文件中使用 rule_1_qu ...
KQL:使用 Sentinel 監視列表從結果中排除部分字符串
[英]KQL: Exclude partial string from results using Sentinel Watchlists
使用監視列表存儲要從該查詢中排除的域。 但是無法從結果中過濾掉監視列表中的域。 處理 SMTPS。 監視列表項目不包含“@”符號。 監視列表示例: 搜索鍵 SMPT hotmail.com hotmail.com gmail.com gmail.com 評論是我的嘗試。 如果需要的不是部分匹 ...
KQL azure 分析中的 IFF function?
[英]IFF function in KQL azure analytics?
我正在嘗試在 KQL 中創建一個 ifelse 語句,但我找不到關於是否可以執行我正在嘗試的操作的文檔。 基本上我想做的是僅在滿足條件(EventResults =“成功”)時進行總結,如果不滿足則進行另一次總結。 SrcDvcIpAddr 總結 SuccessCount=count(), Su ...
如何從 KQL 中的列表中刪除 [UTC]
[英]How to drop [UTC] from a column table in KQL
嘗試清理從 syslog 進入 Sentinel 的一些列,並致力於從 UTC 更改為本地時間。 這是我到目前為止的一個例子: 我期望的是兩列,一個名為 pacific_dt,另一個名為 PacificTime。 但是,當顯示 output 時,兩個列名稱都附加了 [UTC]。 有沒有辦法刪除附加 ...
編寫 Microsoft Sentinel 分析以在新用戶添加到風險用戶列表時發出警報?
[英]Writing a Microsoft Sentinel analytic to alert when a new user is added to the risky user list?
目前正在嘗試編寫一個 Sentinel 分析,當新用戶添加到風險用戶列表時將觸發該分析。 最初,我使用了 AADRiskyUsers 表,但得到了一些重復項並且還缺少一些用戶。 現在我正在使用 AADUserRiskEvents 表,因為此表中的相關 ID 對應於關聯的登錄 session。但我仍 ...
日志查詢警報示例
[英]Log Query Alert Example
我正在為一個項目設計一個監控解決方案,並想為某些資源(例如應用程序洞察)創建一些警報規則。 如果我想設置一個日志搜索警報,我需要定義一個特定的查詢並告訴警報要做什么。 但是,我以前沒有寫過日志查詢警報,也不知道如何設置它。 目前,我已經在 Bicep 中編寫了一個日志搜索示例: 查詢目前仍然是空的, ...
具有兩個表的 Sentinel Analytics 規則
[英]Sentinel Analytics Rule with two tables
我正在嘗試創建一個檢測規則,它將接收來自 MCAS 的警報並從該事件中提取用戶並執行 SigninLogs 查詢以檢查該用戶是否使用了特定的用戶代理。 我試過使用 union 合並兩個表,但我的 where 子句不起作用。 而一無所獲。 基本上我希望找到用戶是否在 SigninLogs 上使用了特定 ...
KQL - 每小時檢查一次值,看它是否高於一周平均值
[英]KQL - Check value every hour to see if it's higher than the week average
我是 kql 和 defender 的新手,正在尋求幫助創建一個 hunting kql 查詢,該查詢檢查過去 7 天端點端點上 defender 的平均警報數量,以及是否在任何時間生成的警報數量激增並超過 1 周平均警報數,它應該觸發警報。 現在我有了這個,但它只是檢查固定閾值 (10),是否可以 ...
Azure 邏輯應用獲取給定監視列表的所有監視列表項
[英]Azure Logic apps getting all Watchlist Items for a given watchlist
我正在嘗試使用連接器(仍處於預覽狀態)獲取給定監視列表的所有監視列表項。 我的監視列表中有 150 個元素,我正確地獲得了前 100 個項目,但我沒有獲得最后 50 個項目,我很確定連接器沒有處理分頁,在輸出中我有一個“nextlink ",但我不知道我是否可以用它來獲取休息物品。 有沒有人有辦法 ...
使用列表 KQL 對數據進行分組
[英]Group data using list KQL
我是使用 Kusto 的新手,所以我想通過不同端口中的相同源 ip 對不同網絡連接進行列表分組。 例如,我有一張這樣的表: 源IP 目的IP 目的端口 192.168.1.1 10.0.0.1 80 192.168.1.1 10.0.0.2 8080 192.168.1.1 10.0. ...