sábado, novembro 23, 2024
KQL

KQL – Guia Básico – Extent

Tiago SouzaAzureSentinelKQLKustoMDESC-200SOCThreat ProtectionKQL

Nível: Iniciante | Tempo de leitura: 5 minutos

Continuando nossa série sobre KQL com foco em Cyber Security, vamos falar hoje como usar o Extent. Outros capítulos podem ser vistos em nossa categoria de KQL do site.

Você pode usar o comando extent para criar novas colunas calculadas e anexa-las ao conjunto de resultados, com isso, ele adiciona uma nova coluna ao conjunto de resultados de entrada que irá aparecer como a última coluna do lado direito da pesquisa.

Exemplo de syntax:

T| extend [ColumnName | (ColumnName[, …])=Expression [, …]

É possível também usar o extend em múltiplas colunas ao mesmo tempo.

SecurityAlert
| where TimeGenerated > ago(7d)
| extend severityOrder = case (
AlertSeverity == "High", 3,
AlertSeverity == "Medium", 2,
AlertSeverity == "Low", 1,
AlertSeverity == "Informational", 0,
-1)

Vamos ver como isso se aplicaria à uma regra de detecção do Azure Sentinel. Aqui, usamos o extend para criar duas novas colunas HTTP_Status_Code e Domain:

let timeframe = 1d;

let DomainList = dynamic(["tor2web.org", "tor2web.com"]);

Syslog
| where TimeGenerated >= ago(timeframe)
| where ProcessName contains "squid"
| extend
HTTP_Status_Code = extract("(TCP_(([A-Z]+)…-9]{3}))",8,SyslogMessage),
Domain = extract("(([A-Z]+ [a-z]{4…Z]+ )([^ :\/]*))",3,SyslogMessage)
| where HTTP_Status_Code == "200"
| where Domain contains "."
| where Domain has_any (DomainList)

Referências:

Use the extend operator – Learn | Microsoft Docs

extend operator – Azure Data Explorer | Microsoft Docs

Tags :AzureSentinelKQLKustoMDESC-200SOCThreat Protection
add a comment
Tiago Souza

Tiago Souza

Security Technical Specialist
Cyber Security Technical Specialist at Microsoft | Cloud Security & Threat Protection | Blog content creator at CyberGeeks.Cloud - https://linktr.ee/tiagovf
view all posts

You may also like

KQL

KQL – Guia Básico – Summarize

Tiago Souza
332
Nível: Iniciante | Tempo de leitura: 5 minutos Continuando nossa série sobre KQL com foco em Cyber Security, vamos falar hoje como usar o operador Summarize. Outros capítulos podem ser vistos em nossa categoria de KQL do site. Podemos pensar no Summarize como um agregador, pois ele produz uma tabela que agrupa (ou sumariza) o conteúdo da tabela de entrada. Em uma analogia com comandos de SQL ele pode ser comparado ao GROUP BY. No exemplo a seguir, estou listando no Azure Sentinel a tabela SecurityEvent e listando com o Summarize usando a função count()...
KQL

KQL – Guia Básico – Count

Tiago Souza
301
Nível: Iniciante | Tempo de leitura: 5 minutos Continuando nossa série sobre KQL com foco em Cyber Security, vamos falar hoje como usar o operador Count. Outros capítulos podem ser vistos em nossa categoria de KQL do site. O operador Count é usado para retornar uma contagem dos registros sumarizados ou totais. Ele basicamente retorna o número de linhas de um resultado pesquisado. Exemplo de caso de uso. Vamos olhar a tabela Perf. Ela nos mostra a lista abaixo. Agora, eu quero contar os resultados retornados usando o count. Vamos ver fazer o exemplo com...
KQL

KQL – Guia Básico – Operador Take/Limit

Tiago Souza
309
Nível: Iniciante | Tempo de leitura: 5 minutos Continuando nossa série sobre KQL com foco em Cyber Security, vamos falar hoje como usar o operador Take e Limit. Outros capítulos podem ser vistos em nossa categoria de KQL do site. O Take ou Limit (que nada mais é do que um alias para take e tem o mesmo efeito), é muito simples e não precisamos de um artigo muito extenso para abordá-lo. Ele serve para você ter uma amostra aleatória de quantas linhas você definir. Isso é útil quando queremos ter uma ideia...