Monitorowanie kondycji łączników danych

Aby zapewnić pełne i nieprzerwane pozyskiwanie danych w usłudze Microsoft Sentinel, należy śledzić kondycję, łączność i wydajność łączników danych.

Następujące funkcje umożliwiają wykonanie tego monitorowania z poziomu usługi Microsoft Sentinel:

• Skoroszyt monitorowania kondycji zbierania danych: ten skoroszyt zawiera dodatkowe monitory, wykrywa anomalie i zapewnia szczegółowe informacje dotyczące stanu pozyskiwania danych obszaru roboczego. Logika skoroszytu umożliwia monitorowanie ogólnej kondycji pozyskanych danych oraz tworzenie niestandardowych widoków i alertów opartych na regułach.

• Tabela danych SentinelHealth: Wykonywanie zapytań w tej tabeli zapewnia szczegółowe informacje na temat zmian kondycji, takich jak najnowsze zdarzenia awarii dla konektora, lub konektory ze zmianami ze stanów powodzenia na niepowodzenia, których można użyć do tworzenia alertów i innych działań automatycznych. Tabela danych SentinelHealth jest obecnie obsługiwana tylko dla wybranych łączników danych.

• Wyświetl kondycję i stan połączonych systemów SAP: Przejrzyj informacje o kondycji systemów SAP w ramach łącznika danych SAP i użyj szablonu reguły alertu, aby uzyskać informacje o kondycji zbierania danych agenta SAP.

Korzystanie ze skoroszytu monitorowania kondycji

Aby rozpocząć, zainstaluj skoroszyt do monitorowania stanu zbierania danych z centrum zawartości i wyświetl lub utwórz kopię szablonu z sekcji Skoroszyty usługi Microsoft Sentinel.

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
   W usłudze Microsoft Sentinel w portalu Defender wybierz Microsoft Sentinel>, zarządzanie zawartością> oraz Centrum usługi zawartości.

2. W centrum zawartości wprowadź zdrowie na pasku wyszukiwania, i wybierz pozycję Monitorowanie stanu zdrowia zbierania danych z wyników.

3. Wybierz pozycję Zainstaluj w okienku szczegółów. Po wyświetleniu komunikatu z powiadomieniem, że skoroszyt jest zainstalowany lub jeśli zamiast instalacji zostanie wyświetlony komunikat Konfiguracja, przejdź do następnego kroku.

4. W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Arkusze robocze.

5. Na stronie Skoroszyty wybierz kartę Szablony, wprowadź zdrowie w polu wyszukiwania i wybierz pozycję Monitorowanie kondycji zbierania danych spośród wyników.

6. Wybierz pozycję Wyświetl szablon , aby użyć skoroszytu w formacie is lub wybierz pozycję Zapisz , aby utworzyć edytowalną kopię skoroszytu. Po utworzeniu kopii wybierz pozycję Wyświetl zapisany skoroszyt.

7. Po przejściu do skoroszytu najpierw wybierz subskrypcję i obszar roboczy , który chcesz wyświetlić, a następnie zdefiniuj element TimeRange , aby filtrować dane zgodnie z potrzebami. Użyj przełącznika Pokaż pomoc, aby wyświetlić kontekstowe wyjaśnienie skoroszytu.

   

W tym skoroszycie znajdują się trzy sekcje z kartami:

• Zakładka Przegląd przedstawia ogólny stan pozyskiwania danych w wybranym obszarze roboczym: miary woluminu, wskaźniki EPS i czas ostatniego odebranego dziennika.

• Karta Anomalie zbierania danych ułatwia wykrywanie anomalii w procesie zbierania danych według tabeli i źródła danych. Każda karta przedstawia anomalie dla określonej tabeli (karta Ogólne zawiera kolekcję tabel). Anomalie są obliczane przy użyciu funkcji series_decompose_anomalies(), która zwraca wynik anomalii. Dowiedz się więcej o tej funkcji. Ustaw następujące parametry dla funkcji, aby ocenić:

  • AnomaliesTimeRange: ten selektor czasu dotyczy tylko widoku anomalii zbierania danych.

  • SampleInterval: interwał czasu, w którym dane są próbkowane w danym zakresie czasu. Wynik anomalii jest obliczany tylko dla danych ostatniego przedziału.

  • PositiveAlertThreshold: ta wartość definiuje próg dodatniego wyniku anomalii. Akceptuje wartości dziesiętne.

  • NegativeAlertThreshold: Ta wartość definiuje ujemny próg wyniku anomalii. Akceptuje wartości dziesiętne.

    

• Karta Informacje o agencie zawiera informacje o kondycji agentów zainstalowanych na różnych maszynach, niezależnie od tego, czy maszyna wirtualna platformy Azure, inna maszyna wirtualna w chmurze, lokalna maszyna wirtualna, czy fizyczna. Monitoruj lokalizację systemową, stan pulsu i opóźnienie, dostępną pamięć i miejsce na dysku oraz operacje agenta.

  W tej sekcji musisz wybrać kartę opisjącą środowisko maszyn: wybierz kartę Maszyny zarządzane przez platformę Azure, jeśli chcesz wyświetlić tylko maszyny zarządzane przez usługę Azure Arc. wybierz kartę Wszystkie maszyny , aby wyświetlić zarówno zarządzane, jak i inne niż maszyny platformy Azure z zainstalowanym agentem usługi Azure Monitor.

  

Korzystanie z tabeli danych SentinelHealth

Aby uzyskać dane dotyczące kondycji łącznika danych z tabeli danych SentinelHealth , należy najpierw włączyć funkcję kondycji usługi Microsoft Sentinel dla obszaru roboczego. Aby uzyskać więcej informacji, zobacz Włączanie monitorowania kondycji dla usługi Microsoft Sentinel.

Po włączeniu funkcji zdrowia zostanie utworzona tabela danych SentinelHealth podczas pierwszego zdarzenia sukcesu lub niepowodzenia wygenerowanym przez twoje łączniki danych.

Obsługiwane łączniki danych

Tabela danych SentinelHealth jest obecnie obsługiwana tylko dla następujących łączników danych:

• Amazon Web Services (CloudTrail i S3)
• Dynamics 365
• Office 365
• Usługa Microsoft Defender dla punktu końcowego
• Analiza zagrożeń — TAXII
• Platformy analizy zagrożeń
• Dowolny łącznik oparty na strukturze łączników bez kodu

Opis zdarzeń tabeli SentinelHealth

Następujące typy zdarzeń zdrowotnych są rejestrowane w tabeli SentinelHealth:

• Zmiana stanu pobierania danych. Rejestrowane raz na godzinę, o ile stan łącznika danych pozostaje stabilny, z zdarzeniami ciągłego powodzenia lub niepowodzenia. Jeśli stan łącznika danych nie ulegnie zmianie, monitorowanie działa tylko co godzinę, aby zapobiec nadmiarowej inspekcji i zmniejszyć rozmiar tabeli. Jeśli stan łącznika danych ma ciągłe awarie, dodatkowe szczegóły dotyczące awarii znajdują się w kolumnie ExtendedProperties .

  Jeśli stan łącznika danych zmieni się z powodzenia na niepowodzenie, od niepowodzenia do powodzenia lub ma zmiany przyczyn niepowodzenia, zdarzenie jest rejestrowane natychmiast, aby umożliwić zespołowi podejmowanie proaktywnych i natychmiastowych działań.

  Potencjalnie przejściowe błędy, takie jak ograniczanie przepustowości usługi źródłowej, są rejestrowane dopiero po upływie ponad 60 minut. Te 60 minut umożliwiają usłudze Microsoft Sentinel rozwiązanie przejściowego problemu w zapleczu i nadrobienie zaległości w danych bez konieczności działania użytkownika. Błędy, które na pewno nie są przejściowe, są rejestrowane natychmiast.

• Podsumowanie błędu. Rejestrowane raz na godzinę dla łącznika na obszar roboczy z zagregowanym podsumowaniem awarii. Zdarzenia podsumowania błędów są tworzone tylko wtedy, gdy łącznik napotkał błędy sondowania w danej godzinie. Zawierają one wszelkie dodatkowe szczegóły podane w kolumnie ExtendedProperties , takie jak okres, dla którego zapytano platformę źródłową łącznika, oraz odrębną listę błędów napotkanych w danym okresie.

Aby uzyskać więcej informacji, zobacz Schemat kolumn tabeli SentinelHealth.

Uruchamianie zapytań w celu wykrywania dryfów kondycji

Utwórz zapytania w tabeli SentinelHealth, aby ułatwić wykrywanie odchyleń zdrowotnych w połączeniach danych. Na przykład:

Wykrywanie najnowszych zdarzeń awarii dla każdego łącznika:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Wykrywanie łączników, które zmieniają się ze stanu niepowodzenia na stan pomyślny

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Wykryj łączniki ze zmianami z powodzenia do stanu niepowodzenia:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:

• let deklaracja
• operator where
• operator projektu
• operator podsumuj
• operator sprzężenia
• ago() , funkcja
• funkcja agregacji arg_max()

Aby uzyskać więcej informacji na temat języka KQL, zobacz Omówienie języka Kusto Query Language (KQL).

Inne zasoby:

• Szybkie odniesienie do KQL
• Zasoby szkoleniowe dotyczące języka zapytań Kusto

Konfigurowanie alertów i akcji automatycznych pod kątem problemów z kondycją

Chociaż możesz użyć reguł analizy usługi Microsoft Sentinel do skonfigurowania automatyzacji w dziennikach tej usługi, jeśli chcesz otrzymywać powiadomienia i podejmować natychmiastowe działania w przypadku problemów z kondycją w łącznikach danych, zalecamy użycie reguł alertów usługi Azure Monitor.

Na przykład:

1. W regule alertu w usłudze Azure Monitor wybierz obszar roboczy usługi Microsoft Sentinel jako zakres reguły, a Niestandardowe wyszukiwanie dzienników jako pierwszy warunek.

2. Dostosuj logikę alertu zgodnie z potrzebami, na przykład zmieniając częstotliwość lub okres wstecznego przeglądu, a następnie użyj zapytań, aby wyszukać odchylenia wskaźników zdrowia.

3. W przypadku akcji reguły wybierz istniejącą grupę akcji lub utwórz nową, zgodnie z potrzebami, aby skonfigurować powiadomienia wypychane lub inne zautomatyzowane akcje, takie jak wyzwalanie aplikacji logiki, elementu webhook lub funkcji platformy Azure w systemie.

Aby uzyskać więcej informacji, zobacz Omówienie alertów usługi Azure Monitor i dziennik alertów usługi Azure Monitor.

Następne kroki

• Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
• Włącz inspekcję i monitorowanie kondycji w usłudze Microsoft Sentinel.
• Monitoruj stan reguł automatyzacji i scenariuszy operacyjnych.
• Monitoruj kondycję i integralność reguł analizy.
• Zobacz więcej informacji na temat schematów tabel SentinelHealth i SentinelAudit .