Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Procedimentos de Consultas KQL No Sentinel

    Enviado por

    valdirene vieira
    23 visualizações3 páginas
    Procedimentos de kql

    Título original

    Procedimentos de Consultas KQL no Sentinel (1)

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Procedimentos de kql

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    23 visualizações3 páginas

    Procedimentos de Consultas KQL No Sentinel

    Enviado por

    valdirene vieira
    Procedimentos de kql

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    Procedimentos de Consultas KQL no Sentinel

    Azure Sentinel MDI

    // Associação do grupo alterada


    // Group Membership changed.
    let group = '<insert your group>';
    IdentityDirectoryEvents
    | where ActionType == 'Group Membership changed'
    | extend AddedToGroup = AdditionalFields['TO.GROUP']
    | extend RemovedFromGroup = AdditionalFields['FROM.GROUP']
    | extend TargetAccount = AdditionalFields['TARGET_OBJECT.USER']
    | where AddedToGroup == group or RemovedFromGroup == group
    | project-reorder Timestamp, ActionType, AddedToGroup, RemovedFromGroup,
    TargetAccount
    | limit 100
    ------------------------------------------------------------------------------------------------------------------------------
    -------
    Evento de alteração de senha
    // Encontre o evento de alteração de senha mais recente para uma conta específica.
    //Encontre o evento de alteração de senha mais recente para uma conta específica

    let userAccount = '<insert your user account>';


    let deviceAccount = 'insert your device account';
    IdentityDirectoryEvents
    | where ActionType == 'Account Password changed'
    | where TargetAccountDisplayName == userAccount
    //If you are looking for last password change of a device account comment the above row and
    remove comment from the below row
    //| where TargetDeviceName == deviceAccount
    | summarize LastPasswordChangeTime = max(Timestamp) by TargetAccountDisplayName // or
    change to TargetDeviceName for devcie account
    ------------------------------------------------------------------------------------------------------------------------------
    -------
    // Links onde um usuário foi autorizado a prosseguir.
    // Links maliciosos nos quais o usuário foi autorizado a prosseguir.

    UrlClickEvents
    | where ActionType == "ClickAllowed" or IsClickedThrough !="0"
    | where ThreatTypes has "Phish"
    | summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes,
    Timestamp
    ------------------------------------------------------------------------------------------------------------------------------
    -----------
    // Detecções de e-mail de phishing pós-entrega não corrigidas.
    // Exibir detecções de e-mail de phishing pós-entrega que não foram corrigidas.
    EmailPostDeliveryEvents
    | where ActionType == 'Phish ZAP' and ActionResult == 'Error'
    | join EmailEvents on NetworkMessageId, RecipientEmailAddress
    | take 100
    ------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Ações do administrador pós-entrega.
    // Exibe as ações pós-entrega feitas pelo administrador.

    EmailPostDeliveryEvents
    | where ActionTrigger == 'AdminAction'
    | take 100
    -------------------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Logs relacionados a um ID de usuário específico
    // Uma lista de logs que contém o ID de usuário específico

    SignalRServiceDiagnosticLogs
    // Enter UserId value to filter by specific user ID.
    | where UserId == ""
    | sort by TimeGenerated asc
    | take 100
    ---------------------------------------------------------------------------------------------------------------------------------------------------------
    --------------
    // Falha ao fazer logons nas contas
    // Conta logons com falha por conta de destino.
    SecurityEvent
    | where EventID == 4625
    | summarize count() by TargetAccount
    ------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Contas com menos de 5 logins
    // Atividade de logon para contas com menos de 5 logons.
    SecurityEvent
    | where EventID == 4624
    | summarize LogonCount = count() by Account
    | where LogonCount < 5
    ------------------------------------------------------------------------------------------------------------------------------
    -----------
    // Atividade do IP
    // Lista as atividades envolvendo um determinado IP.
    let IP="1.2.3.255";
    CommonSecurityLog
    | where SourceIP == IP or DestinationIP==IP
    ------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Todos os incidentes criados hoje
    // Recupera todos os itens de trabalho do Incidente gerados nesta solução durante o último dia.
    ServiceDesk_CL
    |where ServiceDeskWorkItemType_s == "Incident" and CreatedDate_t > bin(now(), 1d)
    | summarize arg_max(TimeGenerated, *) by ServiceDeskId_s
    | sort by TimeGenerated desc
    ---------------------------------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Todas as comunicações de saída por endereço IP remoto.
    WireData
    | where Direction == "Outbound"
    | summarize count() by RemoteIP
    ------------------------------------------------------------------------------------------------------------------------------
    ---------
    // Atividade do Azure para usuário
    // Mostra a atividade do usuário na Atividade do Azure.
    // Substitui o UPN na consulta pelo UPN do usuário de interesse
    let v_Users_UPN= "osotnoc@contoso.com";
    AzureActivity
    | where Caller == v_Users_UPN
    | project TimeGenerated, Caller, OperationName, ActivityStatus
    -------------------------------------------------------------------------------------------------------------------------------------------
    ----------
    // Grupos Criados ou Modificados
    // Grupos criados ou modificados por conta de destino.
    SecurityEvent
    | where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
    | summarize count() by TargetAccount
    -------------------------------------------------------------------------------------------------------------------------------------------
    ---------
    //Serviços parados
    // Lista as mudanças de serviço paradas classificadas por hora.
    ConfigurationChange
    | where ConfigChangeType == "WindowsServices" and SvcState == "Stopped"
    | sort by TimeGenerated desc
    ------------------------------------------------------------------------------------------------------------------------------
    ---------
    // Contas de usuário alteradas
    // Conta as alterações da conta do usuário por conta de destino.
    SecurityEvent
    | where EventID in (4720, 4722)
    | summarize by TargetAccount
    ------------------------------------------------------------------------------------------------------------------------------
    --------
    // Usuários acessando arquivos /
    // Usuários classificados por número de arquivos OneDrive e SharePoint que acessaram.
    OfficeActivity
    | where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileDownloaded",
    "FileAccessed")
    | summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
    | sort by AccessedFilesCount desc nulls last

    Você também pode gostar