تشغيل التدقيق والمراقبة الصحية ل Microsoft Sentinel (معاينة)

راقب سلامة موارد Microsoft Sentinel المدعومة والتدقيق فيها عن طريق تشغيل ميزة التدقيق ومراقبة الصحة في صفحة إعدادات Microsoft Sentinel. احصل على رؤى حول الانجرافات الصحية، مثل أحدث أحداث الفشل أو التغييرات من حالات النجاح إلى حالات الفشل، والإجراءات غير المصرح بها، واستخدم هذه المعلومات لإنشاء إعلامات وإجراءات تلقائية أخرى.

للحصول على البيانات الصحية من جدول بيانات SentinelHealth ، أو للحصول على معلومات التدقيق من جدول بيانات SentinelAudit ، يجب أولا تشغيل ميزة تدقيق Microsoft Sentinel ومراقبة السلامة لمساحة العمل الخاصة بك.

ترشدك هذه المقالة إلى كيفية تشغيل هذه الميزات.

لتنفيذ ميزة الصحة والتدقيق باستخدام واجهة برمجة التطبيقات (Bicep/ARM/REST)، راجع عمليات إعدادات التشخيص.

لتكوين وقت الاستبقاء لأحداث التدقيق والصحة، راجع تكوين نهج استبقاء البيانات والأرشفة في سجلات Azure Monitor.

هام

جداول بيانات SentinelHealth و SentinelAudit موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

جداول البيانات وأنواع الموارد

عند تشغيل الميزة، يتم إنشاء جداول بيانات SentinelHealth و SentinelAudit في الحدث الأول الذي تم إنشاؤه للموارد المحددة.

أنواع الموارد التالية مدعومة حاليا لمراقبة السلامة:

• قواعد التحليلات (جديد!)
• موصلات البيانات
• قواعد الأتمتة
• أدلة المبادئ (مهام سير عمل Azure Logic Apps)

  إشعار

  عند مراقبة صحة دليل المبادئ، ستحتاج أيضا إلى جمع أحداث تشخيص Azure Logic Apps من أدلة المبادئ للحصول على الصورة الكاملة لنشاط playbook الخاص بك. راجع مراقبة صحة قواعد التشغيل التلقائي ودلائل المبادئ لمزيد من المعلومات.

يتم حاليا دعم نوع مورد قاعدة التحليلات فقط للتدقيق.

تشغيل التدقيق والمراقبة الصحية لمساحة العمل الخاصة بك

1. في Microsoft Sentinel، ضمن قائمة Configuration على اليسار، حدد Settings.

2. حدد الإعدادات من الشعار.

3. قم بالتمرير لأسفل وصولا إلى قسم Auditing and health monitoring الذي يظهر أدناه، وحدده للتوسيع.

4. حدد تمكين لتمكين التدقيق والمراقبة الصحية عبر جميع أنواع الموارد وإرسال بيانات التدقيق والمراقبة إلى مساحة عمل Microsoft Sentinel (وليس أي مكان آخر).

   أو حدد رابط تكوين إعدادات التشخيص لتمكين المراقبة الصحية فقط لمجمع البيانات و/أو موارد التشغيل التلقائي، أو لتكوين خيارات متقدمة، مثل أماكن إضافية لإرسال البيانات.

   

   إذا حددت تمكين، فسيتغير الزر باللون الرمادي ليقرأ تمكين... ثم ممكن. عند هذه النقطة، يتم تمكين التدقيق والمراقبة الصحية، وقد انتهيت! تمت إضافة إعدادات التشخيص المناسبة خلف الكواليس، ويمكنك عرضها وتحريرها عن طريق تحديد ارتباط تكوين إعدادات التشخيص.

5. إذا حددت تكوين إعدادات التشخيص، ثم في شاشة إعدادات التشخيص، حدد + إضافة إعداد تشخيص.

   (إذا كنت تقوم بتحرير إعداد موجود، فحدده من قائمة إعدادات التشخيص.)

   • في حقل "Diagnostic setting name"، أدخل اسماً ذا معنى للإعداد الخاص بك.

   • في العمود سجلات، حدد الفئات المناسبة لنوع الموارد التي تريد مراقبتها، على سبيل المثال مجموعة البيانات - الموصلات. حدد allLogs إذا كنت تريد مراقبة قواعد التحليلات.

   • ضمن Destination details، حدد Send to Log Analytics workspace، وحدد مساحة عمل Subscription وLog Analytics من القوائم المنسدلة.

     

     إذا كنت بحاجة إلى ذلك، يمكنك تحديد وجهات أخرى لإرسال بياناتك إليها، بالإضافة إلى مساحة عمل Log Analytics.

6. حدد حفظ في الشعار العلوي لحفظ الإعداد الجديد.

يتم إنشاء جداول بيانات SentinelHealth و SentinelAudit في الحدث الأول الذي تم إنشاؤه للموارد المحددة.

تحقق من أن الجداول تتلقى البيانات

في صفحة Logs من Microsoft Sentinel، قم بتشغيل استعلام على جدول SentinelHealth. على سبيل المثال:

_SentinelHealth()
 | take 20

الخطوات التالية

• تعرف على التدقيق والمراقبة الصحية في Microsoft Sentinel.
• مراقبة صحة قواعد التشغيل التلقائي ودلائل المبادئ.
• مراقبة صحة موصلات البيانات.
• مراقبة سلامة وسلامة قواعد التحليلات الخاصة بك.
• راجع المزيد من المعلومات حول مخططات جدول SentinelHealth و SentinelAudit.