Algumas consultas KQL que usamos para o Log Analytics e Resource Graph são simples mas nos fornecem todos os dados que precisamos para uma decisão ou servir de base para hunting.
Alem de algumas consultas "curiosas" que já precisei montar, tambem tenho as que uso em treinamento do Microsoft Defender for Cloud como exemplo de diferentes tipos de consultas.
Decidi juntar todas elas em um repositório no GitHub para ficar fácil a consulta e deixar disponivel para a comunidade.
msincic/scripts-KQL: Public KQL Scripts (github.com)
| Nome do Script |
Tipo |
Proposito |
| Agents_Last_Comm |
Log Analytics |
List type of agent (MMA or AMA) and last communication of all computers monitored |
| Array-Text-Extract |
Log Analytics |
Examples of extract data in arrays or text columns |
| Attack-Examples |
Log Analytics |
Example of detect attacks in logs (SQL Injection) |
| Emails-Threat-Intel |
Log Analytics |
Detect malicious IPs and domains in email, URL or sender |
| Events_Chart_ByDay |
Log Analytics |
Example of chat to detect anomolous events registered |
| Graph_examples |
Log Analytics |
Examples of graph (bar, time, pie) |
| List_CWPP |
Resource Graph |
List workload protections in all subscriptions to map a coverage protection in your environment |
| List-Deployments-and-Details |
Log Analytics |
List all deploymentos to audit object creations and details about dependant objects in the same deploy |
| M365_Operations |
Log Analytics |
List operations in M365 and IP/DLP actions |
| More-Changed-Computers |
Log Analytics |
List top 10 computers and users with changed configs |
| PIM_Included |
Log Analytics |
List activities of include users in PIM |
| PoliciesAssigned-State |
Resource Graph |
List policies applied and compliance states. You can filter for compliance or non-compliance to addresses actions |
| Policies-List |
Resource Graph |
List policies and details to export and use for determine assigments in your enviromnent |
| Purview-IP-Events |
Log Analytics |
List all activities in Purview (IP, DLP, IRM, etc) |
| Tables-Ingest-Day-by-Day |
Log Analytics |
List ingest data in all tables by day with indicator of billied or non-billed |
| ThreatIntel-Examples |
Log Analytics |
Samples to use Microsoft Defender Threat Intel table to detect malicious IP in sign-ins and consult tables |
| Usage_Tables |
Log Analytics |
Graph to identify and understand tables growing |
| VM_Process_Comm |
Log Analytics |
List of process communicated in all computers with IP and Port, source, destination, bytes send and received |
| VMs+Scale Set User Identity |
Resource Graph |
List VMs and Scale Sets using User Identity to mapped permissions |
Anunciado em Preview no final do ano passado e agora em GA (disponibilidade geral), este recurso irá ajudar as corporações a criar relatórios no Power BI atualizáveis no Power BI Web.
Atualização em 30/Julho/24: Post com exemplos de consultas para montar um dashboard resumo do Defender for Cloud
Iniciando
O primeiro passo é usar o Power BI Desktop para conectar no conector ARG (Azure Resource Graph):
Uma vez feito isso, faça a autenticação e comece a importar suas queries diretamente do portal do Azure, como o exemplo abaixo:
Cole a consulta exatamente do mesmo jeito que testou no portal do Azure dentro da consulta no Power BI Desktop. No exemplo abaixo peguei outra tabela de assessments de segurança em formato simples.
IMPORTANTE: O conector Power BI ARG não suporta comentários !!!!!! Remova antes de inserir a consulta.
Ao final de inserir todas as consultas, você poderá seguir os caminhos normais do Power BI renomeando colunas, acertando nomes, etc. Após isso clique no Aplicar:
Resultado, os dados são importados e agora é possivel criar dashboards com os dados do ARG:
Publicando no Power BI Service
Aqui é que está a grande mudança com este conector, anteriormente utilizando os CCO Dashboards só tinhamos atualização dentro do Power BI Desktop já que utilizamos um conector externo (arquivo "".mez").
Com este novo conector nativo, conseguimos criar e atualizar automaticamente os dados dentro da interface web, até mesmo editando e consumindo novas colunas ou tabelas importadas:
Este novo recurso atualmente (06/05/2024) em preview irá ajudar as empresas que utilizam Sentinel.
Por que é um recurso necessário?
Os utilizadores de Sentinel já conhecem bem o Content Hub e como ele ajuda disponibilizando os diferentes pacotes contendo regras analíticas, conectores e hunting para diferentes necessidades, produtos ou cenários. Alem disso, algumas tabelas e dados podem estar com baixa ou alta ingestão, o que compromete eficácia e custos.
Porem muitas vezes para se atingir a proteção a determinado tipo de ataque é necessário ter diversos pacotes do Content Hub para produtos diferentes ou isolados. Por exemplo para BEC é necessário algumas regras de Fortigate, outras de Cisco, outras de ENTRA e assim por diante, já que podemos ter diversos produtos em um ambiente e qualquer um deles pode ser a porta de entrada.
Resumindo, é dificil saber quais pacotes tem as regras que me protegeriam de um cenário de ataque especifico envolvendo múltiplos produtos e também otimização de custos.
Como o SOC Optimization ajuda e funciona?
Com avaliações periódicas das suas regras instaladas e habilitadas, ele identifica cenários em que sua organização está protegida ou vulnerável. Seguem um print do meu ambiente hoje, onde podem ser vistos os diferentes tipos de ataque:
No exemplo acima, escolhi o BEC para roubo de credencial como o foco de analise realizada pela plataforma e descubro que das 29 recomendações eu tenho apenas 16 aplicadas. Alem disso o grafico me permite ver por tipo de ataque qual é o foco das táticas e técnicas baseado no MITRE.
Ao clicar no link View all MITRE ATTACK technique improvement passo a ter um detalhe das tecnicas que estou cobrindo e quais não estou protegido:
Por fim, ao clicar no botão Go to Content Hub sou direcionado a uma nova tela onde tenho acesso a quais são os objetos que me ajudariam a cobrir o gap identificado e permitindo a instalação imediata:
No exemplo acima vejam que diversas regras estão relacionadas a analise de log de produtos de terceiros que eu não possuo. Como lidar neste caso?
Lembre-se que na tela iniciar de cada avaliação você tem a opção de indicar o estágio que se encontra a sua ação após a análise. Como em meu ambiente não tenho Cisco nem Proofpoint instalaria os objetos que cobrem o meu ambiente e definiria o estágio como Complete.
Conclusão
Simples de utilizar e prático, este recurso irá ajudar muito aos operadores de SOC ter cenários cobertos sem a necessidade de seguir manualmente verificações.
Também irá ajudar na visualização de tabelas com ingestão inadequada.