outbound logs are not fetch by Sentinel

%3CLINGO-SUB%20id%3D%22lingo-sub-3348967%22%20slang%3D%22en-US%22%3Eoutbound%20logs%20are%20not%20fetch%20by%20Sentinel%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-3348967%22%20slang%3D%22en-US%22%3E%3CP%3EHi%3CBR%20%2F%3EI%20am%20looking%20for%20the%20troubleshoot%20the%20Outbound%20Logs%20that%20are%20not%20Fetched%20in%20Azure%20Sentinel%20so%20I%20can%20review%20the%20logs%3A%3CBR%20%2F%3E%3CBR%20%2F%3E%3C%2FP%3E%3CP%3E%3CSPAN%20class%3D%22lia-inline-image-display-wrapper%20lia-image-align-inline%22%20image-alt%3D%22Abdul_Haadi_0-1652167065326.png%22%20style%3D%22width%3A%20400px%3B%22%3E%3CIMG%20src%3D%22https%3A%2F%2Ftechcommunity.microsoft.com%2Ft5%2Fimage%2Fserverpage%2Fimage-id%2F370417i8FB1DB7EB7816481%2Fimage-size%2Fmedium%3Fv%3Dv2%26amp%3Bpx%3D400%22%20role%3D%22button%22%20title%3D%22Abdul_Haadi_0-1652167065326.png%22%20alt%3D%22Abdul_Haadi_0-1652167065326.png%22%20%2F%3E%3C%2FSPAN%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-LABS%20id%3D%22lingo-labs-3348967%22%20slang%3D%22en-US%22%3E%3CLINGO-LABEL%3EData%20Collection%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3EDetection%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ELog%20Data%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3EMonitoring%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESOAR%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESolutions%3C%2FLINGO-LABEL%3E%3C%2FLINGO-LABS%3E%3CLINGO-SUB%20id%3D%22lingo-sub-3349153%22%20slang%3D%22en-US%22%3ERe%3A%20outbound%20logs%20are%20not%20fetch%20by%20Sentinel%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-3349153%22%20slang%3D%22en-US%22%3E%3CP%3E%3CA%20href%3D%22https%3A%2F%2Ftechcommunity.microsoft.com%2Ft5%2Fuser%2Fviewprofilepage%2Fuser-id%2F1385590%22%20target%3D%22_blank%22%3E%40Abdul_Haadi%3C%2FA%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EWhy%20do%20think%20they%20are%20not%20fetched%3F%26nbsp%3B%20The%20query%20uses%20up%20to%206%20data%20sources%2C%20only%20four%2C%20%3CSTRONG%3EWiredata%3C%2FSTRONG%3E%2C%20%3CSTRONG%3EWindowsFirewall%3C%2FSTRONG%3E%2C%20%3CSTRONG%3ECommonSecutiyLog%3C%2FSTRONG%3E%20and%20%3CSTRONG%3EVMConnection%3C%2FSTRONG%3E%20tables%20will%20show%20a%20%22outbound%22%20status%20and%20%3CEM%3Eonly%3C%2FEM%3E%20if%20there%20is%20a%20Malicious%20state%20(so%20zero%20or%20a%20very%20low%20number%20is%20expected).%26nbsp%3B%3CBR%20%2F%3E%3CBR%20%2F%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-cpp%22%3E%3CCODE%3Eunion%20isfuzzy%3Dtrue%0A%20%20%20%20(W3CIISLog%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20%22InboundOrUnknown%22%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteIPLongitude)%2C%0A%20%20%20%20(DnsEvents%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20%22InboundOrUnknown%22%2C%0A%20%20%20%20%20%20%20%20Country%3D%20RemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%20%3D%20RemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%20%3D%20RemoteIPLongitude)%2C%0A%20%20%20%20(WireData%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(Direction%20!%3D%20%22Outbound%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteIPLongitude)%2C%0A%20%20%20%20(WindowsFirewall%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(CommunicationDirection%20!%3D%20%22SEND%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DMaliciousIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DMaliciousIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DMaliciousIPLongitude)%2C%0A%20%20%20%20(CommonSecurityLog%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(CommunicationDirection%20!in%20(%22Outbound%22%2C%20%221%22)%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DMaliciousIPCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DMaliciousIPLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DMaliciousIPLongitude%2C%0A%20%20%20%20%20%20%20%20Confidence%3DThreatDescription%2C%0A%20%20%20%20%20%20%20%20Description%3DThreatDescription)%2C%0A%20%20%20%20(VMConnection%0A%20%20%20%20%7C%20where%20Type%20%3D%3D%20%22VMConnection%22%0A%20%20%20%20%7C%20extend%0A%20%20%20%20%20%20%20%20TrafficDirection%20%3D%20iff(Direction%20!%3D%20%22outbound%22%2C%20%22InboundOrUnknown%22%2C%20%22Outbound%22)%2C%0A%20%20%20%20%20%20%20%20Country%3DRemoteCountry%2C%0A%20%20%20%20%20%20%20%20Latitude%3DRemoteLatitude%2C%0A%20%20%20%20%20%20%20%20Longitude%3DRemoteLongitude%2C%0A%20%20%20%20%20%20%20%20MaliciousIP%3DMaliciousIp)%0A%7C%20where%20isnotempty(MaliciousIP)%0A%20%20%20%20and%20isnotempty(Country)%0A%20%20%20%20and%20isnotempty(Latitude)%0A%20%20%20%20and%20isnotempty(Longitude)%0A%7C%20summarize%20count()%20by%20TrafficDirection%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E
Frequent Visitor

Hi
I am looking for the troubleshoot the Outbound Logs that are not Fetched in Azure Sentinel so I can review the logs:

Abdul_Haadi_0-1652167065326.png

 

1 Reply

@Abdul_Haadi 

 

Why do think they are not fetched?  The query uses up to 6 data sources, only four, Wiredata, WindowsFirewall, CommonSecutiyLog and VMConnection tables will show a "outbound" status and only if there is a Malicious state (so zero or a very low number is expected). 

 

union isfuzzy=true
    (W3CIISLog
    | extend
        TrafficDirection = "InboundOrUnknown",
        Country=RemoteIPCountry,
        Latitude=RemoteIPLatitude,
        Longitude=RemoteIPLongitude),
    (DnsEvents
    | extend
        TrafficDirection = "InboundOrUnknown",
        Country= RemoteIPCountry,
        Latitude = RemoteIPLatitude,
        Longitude = RemoteIPLongitude),
    (WireData
    | extend
        TrafficDirection = iff(Direction != "Outbound", "InboundOrUnknown", "Outbound"),
        Country=RemoteIPCountry,
        Latitude=RemoteIPLatitude,
        Longitude=RemoteIPLongitude),
    (WindowsFirewall
    | extend
        TrafficDirection = iff(CommunicationDirection != "SEND", "InboundOrUnknown", "Outbound"),
        Country=MaliciousIPCountry,
        Latitude=MaliciousIPLatitude,
        Longitude=MaliciousIPLongitude),
    (CommonSecurityLog
    | extend
        TrafficDirection = iff(CommunicationDirection !in ("Outbound", "1"), "InboundOrUnknown", "Outbound"),
        Country=MaliciousIPCountry,
        Latitude=MaliciousIPLatitude,
        Longitude=MaliciousIPLongitude,
        Confidence=ThreatDescription,
        Description=ThreatDescription),
    (VMConnection
    | where Type == "VMConnection"
    | extend
        TrafficDirection = iff(Direction != "outbound", "InboundOrUnknown", "Outbound"),
        Country=RemoteCountry,
        Latitude=RemoteLatitude,
        Longitude=RemoteLongitude,
        MaliciousIP=MaliciousIp)
| where isnotempty(MaliciousIP)
    and isnotempty(Country)
    and isnotempty(Latitude)
    and isnotempty(Longitude)
| summarize count() by TrafficDirection