Algumas consultas KQL que usamos para o Log Analytics e Resource Graph são simples mas nos fornecem todos os dados que precisamos para uma decisão ou servir de base para hunting.
Alem de algumas consultas "curiosas" que já precisei montar, tambem tenho as que uso em treinamento do Microsoft Defender for Cloud como exemplo de diferentes tipos de consultas.
Decidi juntar todas elas em um repositório no GitHub para ficar fácil a consulta e deixar disponivel para a comunidade.
msincic/scripts-KQL: Public KQL Scripts (github.com)
| Nome do Script |
Tipo |
Proposito |
| Agents_Last_Comm |
Log Analytics |
List type of agent (MMA or AMA) and last communication of all computers monitored |
| Array-Text-Extract |
Log Analytics |
Examples of extract data in arrays or text columns |
| Attack-Examples |
Log Analytics |
Example of detect attacks in logs (SQL Injection) |
| Emails-Threat-Intel |
Log Analytics |
Detect malicious IPs and domains in email, URL or sender |
| Events_Chart_ByDay |
Log Analytics |
Example of chat to detect anomolous events registered |
| Graph_examples |
Log Analytics |
Examples of graph (bar, time, pie) |
| List_CWPP |
Resource Graph |
List workload protections in all subscriptions to map a coverage protection in your environment |
| List-Deployments-and-Details |
Log Analytics |
List all deploymentos to audit object creations and details about dependant objects in the same deploy |
| M365_Operations |
Log Analytics |
List operations in M365 and IP/DLP actions |
| More-Changed-Computers |
Log Analytics |
List top 10 computers and users with changed configs |
| PIM_Included |
Log Analytics |
List activities of include users in PIM |
| PoliciesAssigned-State |
Resource Graph |
List policies applied and compliance states. You can filter for compliance or non-compliance to addresses actions |
| Policies-List |
Resource Graph |
List policies and details to export and use for determine assigments in your enviromnent |
| Purview-IP-Events |
Log Analytics |
List all activities in Purview (IP, DLP, IRM, etc) |
| Tables-Ingest-Day-by-Day |
Log Analytics |
List ingest data in all tables by day with indicator of billied or non-billed |
| ThreatIntel-Examples |
Log Analytics |
Samples to use Microsoft Defender Threat Intel table to detect malicious IP in sign-ins and consult tables |
| Usage_Tables |
Log Analytics |
Graph to identify and understand tables growing |
| VM_Process_Comm |
Log Analytics |
List of process communicated in all computers with IP and Port, source, destination, bytes send and received |
| VMs+Scale Set User Identity |
Resource Graph |
List VMs and Scale Sets using User Identity to mapped permissions |
Anunciado em Preview no final do ano passado e agora em GA (disponibilidade geral), este recurso irá ajudar as corporações a criar relatórios no Power BI atualizáveis no Power BI Web.
Atualização em 30/Julho/24: Post com exemplos de consultas para montar um dashboard resumo do Defender for Cloud
Iniciando
O primeiro passo é usar o Power BI Desktop para conectar no conector ARG (Azure Resource Graph):
Uma vez feito isso, faça a autenticação e comece a importar suas queries diretamente do portal do Azure, como o exemplo abaixo:
Cole a consulta exatamente do mesmo jeito que testou no portal do Azure dentro da consulta no Power BI Desktop. No exemplo abaixo peguei outra tabela de assessments de segurança em formato simples.
IMPORTANTE: O conector Power BI ARG não suporta comentários !!!!!! Remova antes de inserir a consulta.
Ao final de inserir todas as consultas, você poderá seguir os caminhos normais do Power BI renomeando colunas, acertando nomes, etc. Após isso clique no Aplicar:
Resultado, os dados são importados e agora é possivel criar dashboards com os dados do ARG:
Publicando no Power BI Service
Aqui é que está a grande mudança com este conector, anteriormente utilizando os CCO Dashboards só tinhamos atualização dentro do Power BI Desktop já que utilizamos um conector externo (arquivo "".mez").
Com este novo conector nativo, conseguimos criar e atualizar automaticamente os dados dentro da interface web, até mesmo editando e consumindo novas colunas ou tabelas importadas:
Dentro da suite de soluções de proteção de dados do Purview para clientes com o pacote M365 E5 (addon ou O365) é possivel usar a feature de DLP Endpoint onde as regras de DLP e label tambem se aplicam a arquivos gravados na maquina local ou trafegados em sites externos.
Habilitando e Configuração
Essas configurações estão localizadas em Settings e brangem diversos parametros onde queremos aplicar as politicas de proteção de informação:
Uma vez definido os tipos de bloqueios que queremos implementar, definimos que uam determinada politica seja aplicada tambem aos dispositvos:
Descobrindo a Aplicação das Politicas
Até ai muitos já utilizam o recurso. Mas e como saber se as politicas foram aplicadas a uma determinada maquina?
Para isso é possivel usar PowerShell, porem um aplicativo desenvolvido pelo time Microsoft permite visualizar de forma simples e está disponivel em Troubleshoot and Manage Microsoft Purview Data Loss Prevention for your Endpoint Devices - Microsoft Community Hub com o nome de DisplayDlpPolicy.exe.
Esse aplicativo é muito simples para ser utilizado e permitirá que você veja em uma estação qual politica foi aplicada em detalhes.
O primeiro exemplo abaixo mostra quais politicas DLP estão aplicadas ao dispositivo:
O segundo comando abaixo exemplifica os Settings do DLP Endpoint:
Esse resultado acima é especialmente importante para descobrir se determinada falha foi causada por um problema de detecção ou se a regra não está aplicada, pois aqui vemos detalhadamente quais as proteções foram configuradas.