outbound logs are not fetch by Sentinel

%3CLINGO-SUB%20id%3D%22lingo-sub-3348967%22%20slang%3D%22en-US%22%3Eoutbound%20logs%20are%20not%20fetch%20by%20Sentinel%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-3348967%22%20slang%3D%22en-US%22%3E%3CP%3EHi%3CBR%20%2F%3EI%20am%20looking%20for%20the%20troubleshoot%20the%20Outbound%20Logs%20that%20are%20not%20Fetched%20in%20Azure%20Sentinel%20so%20I%20can%20review%20the%20logs%3A%3CBR%20%2F%3E%3CBR%20%2F%3E%3C%2FP%3E%3CP%3E%3CSPAN%20class%3D%22lia-inline-image-display-wrapper%20lia-image-align-inline%22%20image-alt%3D%22Abdul_Haadi_0-1652167065326.png%22%20style%3D%22width%3A%20400px%3B%22%3E%3CIMG%20src%3D%22https%3A%2F%2Ftechcommunity.microsoft.com%2Ft5%2Fimage%2Fserverpage%2Fimage-id%2F370417i8FB1DB7EB7816481%2Fimage-size%2Fmedium%3Fv%3Dv2%26amp%3Bpx%3D400%22%20role%3D%22button%22%20title%3D%22Abdul_Haadi_0-1652167065326.png%22%20alt%3D%22Abdul_Haadi_0-1652167065326.png%22%20%2F%3E%3C%2FSPAN%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-LABS%20id%3D%22lingo-labs-3348967%22%20slang%3D%22en-US%22%3E%3CLINGO-LABEL%3EData%20Collection%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3EDetection%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ELog%20Data%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3EMonitoring%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESOAR%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESolutions%3C%2FLINGO-LABEL%3E%3C%2FLINGO-LABS%3E%3CLINGO-SUB%20id%3D%22lingo-sub-3349153%22%20slang%3D%22en-US%22%3ERe%3A%20outbound%20logs%20are%20not%20fetch%20by%20Sentinel%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-3349153%22%20slang%3D%22en-US%22%3E%3CP%3E%3CA%20href%3D%22https%3A%2F%2Ftechcommunity.microsoft.com%2Ft5%2Fuser%2Fviewprofilepage%2Fuser-id%2F1385590%22%20target%3D%22_blank%22%3E%40Abdul_Haadi%3C%2FA%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EWhy%20do%20think%20they%20are%20not%20fetched%3F%26nbsp%3B%20The%20query%20uses%20up%20to%206%20data%20sources%2C%20only%20four%2C%20%3CSTRONG%3EWiredata%3C%2FSTRONG%3E%2C%20%3CSTRONG%3EWindowsFirewall%3C%2FSTRONG%3E%2C%20%3CSTRONG%3ECommonSecutiyLog%3C%2FSTRONG%3E%20and%20%3CSTRONG%3EVMConnection%3C%2FSTRONG%3E%20tables%20will%20show%20a%20%22outbound%22%20status%20and%20%3CEM%3Eonly%3C%2FEM%3E%20if%20there%20is%20a%20Malicious%20state%20(so%20zero%20or%20a%20very%20low%20number%20is%20expected).%26nbsp%3B%3CBR%20%2F%3E%3CBR%20%2F%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-cpp%22%3E%3CCODE%3Eunion%20isfuzzy%3Dtrue%0A%20%20%20%20(W3CIISLog%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20%22InboundOrUnknown%22%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteIPLongitude)%2C%0A%20%20%20%20(DnsEvents%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20%22InboundOrUnknown%22%2C%0A%20%20%20%20%20%20%20%20Country%3D%20RemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%20%3D%20RemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%20%3D%20RemoteIPLongitude)%2C%0A%20%20%20%20(WireData%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(Direction%20!%3D%20%22Outbound%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteIPLongitude)%2C%0A%20%20%20%20(WindowsFirewall%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(CommunicationDirection%20!%3D%20%22SEND%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DMaliciousIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DMaliciousIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DMaliciousIPLongitude)%2C%0A%20%20%20%20(CommonSecurityLog%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(CommunicationDirection%20!in%20(%22Outbound%22%2C%20%221%22)%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DMaliciousIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DMaliciousIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DMaliciousIPLongitude%2C%0A%20%20%20%20%20%20%20%20Confidence%3DThreatDescription%2C%0A%20%20%20%20%20%20%20%20Description%3DThreatDescription)%2C%0A%20%20%20%20(VMConnection%0A%20%20%20%20%7C%20where%20Type%20%3D%3D%20%22VMConnection%22%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(Direction%20!%3D%20%22outbound%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteLongitude%2C%0A%20%20%20%20%20%20%20%20MaliciousIP%3DMaliciousIp)%0A%7C%20where%20isnotempty(MaliciousIP)%0A%20%20%20%20and%20isnotempty(Country)%0A%20%20%20%20and%20isnotempty(Latitude)%0A%20%20%20%20and%20isnotempty(Longitude)%0A%7C%20summarize%20count()%20by%20TrafficDirection%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E
Senior Member

Hi
I am looking for the troubleshoot the Outbound Logs that are not Fetched in Azure Sentinel so I can review the logs:

Abdul_Haadi_0-1652167065326.png

 

1 Reply

@Abdul_Haadi 

 

Why do think they are not fetched?  The query uses up to 6 data sources, only four, Wiredata, WindowsFirewall, CommonSecutiyLog and VMConnection tables will show a "outbound" status and only if there is a Malicious state (so zero or a very low number is expected). 

 

union isfuzzy=true
    (W3CIISLog
    | extend
        TrafficDirection = "InboundOrUnknown",
        Country=RemoteIPCountry,
        Latitude=RemoteIPLatitude,
        Longitude=RemoteIPLongitude),
    (DnsEvents
    | extend
        TrafficDirection = "InboundOrUnknown",
        Country= RemoteIPCountry,
        Latitude = RemoteIPLatitude,
        Longitude = RemoteIPLongitude),
    (WireData
    | extend
        TrafficDirection = iff(Direction != "Outbound", "InboundOrUnknown", "Outbound"),
        Country=RemoteIPCountry,
        Latitude=RemoteIPLatitude,
        Longitude=RemoteIPLongitude),
    (WindowsFirewall
    | extend
        TrafficDirection = iff(CommunicationDirection != "SEND", "InboundOrUnknown", "Outbound"),
        Country=MaliciousIPCountry,
        Latitude=MaliciousIPLatitude,
        Longitude=MaliciousIPLongitude),
    (CommonSecurityLog
    | extend
        TrafficDirection = iff(CommunicationDirection !in ("Outbound", "1"), "InboundOrUnknown", "Outbound"),
        Country=MaliciousIPCountry,
        Latitude=MaliciousIPLatitude,
        Longitude=MaliciousIPLongitude,
        Confidence=ThreatDescription,
        Description=ThreatDescription),
    (VMConnection
    | where Type == "VMConnection"
    | extend
        TrafficDirection = iff(Direction != "outbound", "InboundOrUnknown", "Outbound"),
        Country=RemoteCountry,
        Latitude=RemoteLatitude,
        Longitude=RemoteLongitude,
        MaliciousIP=MaliciousIp)
| where isnotempty(MaliciousIP)
    and isnotempty(Country)
    and isnotempty(Latitude)
    and isnotempty(Longitude)
| summarize count() by TrafficDirection

 

We support Ukraine and condemn war. Push Russian government to act against war. Be brave, vocal and show your support to Ukraine. Follow the latest news HERE