Udostępnij przez

Inspekcja i monitorowanie kondycji w usłudze Microsoft Sentinel

Microsoft Sentinel to krytyczna usługa umożliwiająca rozwijanie i ochronę bezpieczeństwa zasobów technologicznych i informacyjnych organizacji, dlatego chcesz mieć pewność, że zawsze działa płynnie i bez ingerencji.

Chcesz sprawdzić, czy wiele ruchomych części usługi zawsze działa zgodnie z oczekiwaniami i nie jest manipulowane przez nieautoryzowane akcje, niezależnie od tego, czy są to użytkownicy wewnętrzni, czy w inny sposób. Możesz również skonfigurować powiadomienia o dryfach kondycji lub nieautoryzowanych działaniach, które mają być wysyłane do odpowiednich uczestników projektu, którzy mogą odpowiedzieć lub zatwierdzić odpowiedź. Możesz na przykład ustawić warunki wyzwalania wysyłania wiadomości e-mail lub wiadomości usługi Microsoft Teams do zespołów operacyjnych, menedżerów lub oficerów, uruchamiać nowe bilety w systemie obsługi biletów itd.

W tym artykule opisano, jak funkcje monitorowania kondycji i inspekcji usługi Microsoft Sentinel umożliwiają monitorowanie aktywności niektórych kluczowych zasobów usługi i inspekcję dzienników akcji użytkownika w usłudze.

Kondycja i inspekcja magazynu danych

Dane dotyczące kondycji i inspekcji są zbierane w dwóch tabelach w obszarze roboczym usługi Log Analytics: SentinelHealth i SentinelAudit

Dane inspekcji są zbierane w tabeli SentinelAudit .

Dane dotyczące kondycji są zbierane w tabeli SentinelHealth , która przechwytuje zdarzenia rejestrowane za każdym razem, gdy reguła automatyzacji jest uruchamiana i wyniki końcowe tych przebiegów. Tabela SentinelHealth zawiera następujące elementy:

  • Czy akcje uruchamiane w regule kończą się powodzeniem, czy niepowodzeniem, oraz podręcznikami wywołanymi przez regułę.
  • Zdarzenia, które rejestrują wyzwalanie podręczników na żądanie (ręczne lub oparte na interfejsie API), w tym tożsamości, które je wyzwoliły, oraz wyniki końcowe tych przebiegów

Tabela SentinelHealth nie zawiera rekordu wykonania zawartości podręcznika, tylko tego, czy podręcznik został uruchomiony pomyślnie. Dziennik akcji wykonywanych w podręczniku, które są przepływami pracy usługi Logic Apps, są wymienione w tabeli AzureDiagnostics . Usługa AzureDiagnostics udostępnia pełny obraz kondycji automatyzacji w połączeniu z danymi usługi SentinelHealth .

Najczęstszym sposobem korzystania z tych danych jest wykonywanie zapytań względem tych tabel. Aby uzyskać najlepsze wyniki, skompiluj zapytania dotyczące wstępnie utworzonych funkcji w tych tabelach, _SentinelHealth() i _SentinelAudit(), zamiast wykonywać zapytania bezpośrednio w tabelach. Te funkcje zapewniają zgodność z poprzednimi wersjami zapytań w przypadku wprowadzania zmian w schemacie samych tabel.

Tabela SentinelHealth nie jest rozliczana i nie powoduje naliczania opłat za pozyskiwanie danych dotyczących kondycji. Tabela SentinelAudit jest rozliczana, podobnie jak w innych obszarach usługi Microsoft Sentinel, koszty poniesione zależą od woluminu dziennika, co może mieć wpływ na liczbę działań i zmian wprowadzonych w powiązanych regułach. Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.

Pytania dotyczące weryfikowania kondycji usługi i danych inspekcji

Skorzystaj z następujących pytań, aby kierować monitorowaniem danych dotyczących kondycji i inspekcji usługi Microsoft Sentinel:

Czy łącznik danych działa poprawnie?

Czy łącznik danych odbiera dane? Jeśli na przykład poinstruujesz usługę Microsoft Sentinel, aby uruchamiała zapytanie co 5 minut, chcesz sprawdzić, czy to zapytanie jest wykonywane, jak działa, oraz czy istnieją jakiekolwiek zagrożenia lub luki w zabezpieczeniach związane z zapytaniem.

Czy reguła automatyzacji została uruchomiona zgodnie z oczekiwaniami?

Czy reguła automatyzacji została uruchomiona, gdy miała być — to znaczy, kiedy zostały spełnione jej warunki? Czy wszystkie akcje reguły automatyzacji zostały pomyślnie uruchomione?

Czy reguła analizy została uruchomiona zgodnie z oczekiwaniami?

Czy reguła analizy została uruchomiona, gdy miała, i czy wygenerowała wyniki? Jeśli spodziewasz się zobaczyć określone zdarzenia w kolejce, ale nie, chcesz wiedzieć, czy reguła została uruchomiona, ale nie znalazła żadnych (lub wystarczających rzeczy), czy w ogóle nie została uruchomiona.

Czy wprowadzono nieautoryzowane zmiany w regule analizy?

Czy coś się zmieniło w regule? Nie otrzymano oczekiwanych wyników z reguły analizy i nie wystąpiły żadne problemy z kondycją. Chcesz sprawdzić, czy jakiekolwiek nieplanowane zmiany zostały wprowadzone w regule, a jeśli tak, jakie zmiany zostały wprowadzone, przez kogo, skąd i kiedy.

Przepływ monitorowania kondycji i inspekcji

Aby rozpocząć zbieranie danych dotyczących kondycji i inspekcji, należy włączyć monitorowanie kondycji i inspekcji w ustawieniach usługi Microsoft Sentinel. Następnie możesz zapoznać się z danymi dotyczącymi kondycji i inspekcji zbieranych przez usługę Microsoft Sentinel:

Działanie Więcej informacji
Uruchamiaj zapytania w tabelach danych SentinelHealth i SentinelAudit ze strony Dzienniki usługi Microsoft Sentinel.
  • Łączniki danych
  • Reguły automatyzacji i podręczniki (dołączanie zapytań za pomocą diagnostyki usługi Azure Logic Apps)
  • Reguły analizy
    		•
    Użyj skoroszytów inspekcji i monitorowania kondycji dostępnych w usłudze Microsoft Sentinel.
  • Łączniki danych
  • Reguły automatyzacji i podręczniki
  • Reguły analizy
    		•
    Używanie narzędzi do zarządzania wykonywaniem usługi Microsoft Sentinel w celu monitorowania i optymalizowania wykonywania zaplanowanych reguł analizy
  • Monitorowanie i optymalizowanie wykonywania zaplanowanych reguł analizy
    		•
    Wyeksportuj dane do różnych miejsc docelowych, takich jak obszar roboczy usługi Log Analytics, archiwizowanie na koncie magazynu i nie tylko.
  • Ustawienia diagnostyczne w usłudze Azure Monitor
    		•

    Powiązana zawartość

    • Last updated on