التدقيق والمراقبة الصحية في Microsoft Sentinel

Microsoft Sentinel هي خدمة مهمة لتعزيز وحماية أمان الأصول التكنولوجية والمعلوماتية لمؤسستك، لذلك تريد التأكد من أنها تعمل دائما بسلاسة وخالية من التداخل.

تريد التحقق من أن العديد من الأجزاء المتحركة للخدمة تعمل دائما كما هو مقصود، ولا يتم التعامل معها من خلال إجراءات غير مصرح بها، سواء من قبل المستخدمين الداخليين أو غير ذلك. قد ترغب أيضا في تكوين إعلامات الانجرافات الصحية أو الإجراءات غير المصرح بها لإرسالها إلى أصحاب المصلحة ذوي الصلة الذين يمكنهم الاستجابة أو الموافقة على الاستجابة. على سبيل المثال، يمكنك تعيين شروط لتشغيل إرسال رسائل البريد الإلكتروني أو رسائل Microsoft Teams إلى فرق العمليات أو المديرين أو الضباط، وتشغيل تذاكر جديدة في نظام إصدار التذاكر، وما إلى ذلك.

توضح هذه المقالة كيف تتيح لك ميزات المراقبة والتدقيق في Microsoft Sentinel مراقبة نشاط بعض الموارد الرئيسية للخدمة وفحص سجلات إجراءات المستخدم داخل الخدمة.

سلامة تخزين البيانات وتدقيته

يتم جمع بيانات الصحة والتدقيق في جدولين في مساحة عمل Log Analytics: SentinelHealth و SentinelAudit

يتم جمع بيانات التدقيق في جدول SentinelAudit .

يتم جمع البيانات الصحية في جدول SentinelHealth ، الذي يلتقط الأحداث التي تسجل في كل مرة يتم فيها تشغيل قاعدة التنفيذ التلقائي والنتائج النهائية لتلك التشغيلات. يتضمن جدول SentinelHealth ما يلي:

  • ما إذا كانت الإجراءات التي تم تشغيلها في القاعدة تنجح أو تفشل، ودلائل المبادئ التي تم استدعاؤها بواسطة القاعدة.
  • الأحداث التي تسجل تشغيل أدلة المبادئ عند الطلب (اليدوي أو المستند إلى واجهة برمجة التطبيقات)، بما في ذلك الهويات التي أدت إليها، والنتائج النهائية لتلك التشغيلات

لا يتضمن جدول SentinelHealth سجلا لتنفيذ محتويات دليل المبادئ، فقط ما إذا كان قد تم تشغيل دليل المبادئ بنجاح. يتم سرد سجل الإجراءات المتخذة داخل دليل المبادئ، وهي مهام سير عمل Logic Apps، في جدول AzureDiagnostics . يوفر لك AzureDiagnostics صورة كاملة لصحة الأتمتة عند استخدامها جنبا إلى جنب مع بيانات SentinelHealth.

الطريقة الأكثر شيوعا لاستخدام هذه البيانات هي الاستعلام عن هذه الجداول. للحصول على أفضل النتائج، قم بإنشاء استعلاماتك على الدالات التي تم إنشاؤها مسبقا على هذه الجداول، _SentinelHealth() _SentinelAudit()، بدلا من الاستعلام عن الجداول مباشرة. تضمن هذه الوظائف الحفاظ على توافق الاستعلامات مع الإصدارات السابقة في حالة إجراء تغييرات على مخطط الجداول نفسها.

جدول SentinelHealth غير قابل للفوترة ولا يتحمل أي رسوم لاستيعاب البيانات الصحية. جدول SentinelAudit قابل للفوترة، وكما هو الحال في مجالات أخرى من Microsoft Sentinel، تعتمد التكاليف المتكبدة على حجم السجل، والذي قد يتأثر بعدد الأنشطة والتغييرات التي تم إجراؤها على القواعد ذات الصلة. لمزيد من المعلومات، راجع تخطيط التكاليف وفهم أسعار Microsoft Sentinel والفوترة.

هام

جداول بيانات SentinelHealth و SentinelAudit موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

أسئلة للتحقق من صحة الخدمة وبيانات التدقيق

استخدم الأسئلة التالية لتوجيه مراقبة بيانات الحماية والتدقيق الخاصة ب Microsoft Sentinel:

هل موصل البيانات يعمل بشكل صحيح؟

هل يتلقى موصل البيانات البيانات؟ على سبيل المثال، إذا قمت بتوجيه Microsoft Sentinel لتشغيل استعلام كل 5 دقائق، فأنت تريد التحقق مما إذا كان يتم تنفيذ هذا الاستعلام، وكيفية أدائه، وما إذا كانت هناك أي مخاطر أو ثغرات أمنية متعلقة بالاستعلام.

هل تم تشغيل قاعدة التنفيذ التلقائي كما هو متوقع؟

هل تم تشغيل قاعدة التشغيل التلقائي عندما كان من المفترض أن تعمل - أي عندما تم استيفاء شروطها؟ هل تم تشغيل جميع الإجراءات في قاعدة التنفيذ التلقائي بنجاح؟

هل تم تشغيل قاعدة التحليلات كما هو متوقع؟

هل تم تشغيل قاعدة التحليلات الخاصة بك عندما كان من المفترض أن تعمل، وهل ولدت نتائج؟ إذا كنت تتوقع رؤية أحداث معينة في قائمة الانتظار الخاصة بك ولكنك لا تفعل ذلك، فأنت تريد معرفة ما إذا كانت القاعدة قيد التشغيل ولكنها لم تجد أي شيء (أو أشياء كافية)، أو لم يتم تشغيلها على الإطلاق.

هل تم إجراء تغييرات غير مصرح بها على قاعدة تحليلات؟

هل تغير شيء ما في القاعدة؟ لم تحصل على النتائج التي توقعتها من قاعدة التحليلات الخاصة بك، ولم يكن لديها أي مشكلات صحية. تريد معرفة ما إذا تم إجراء أي تغييرات غير مخطط لها على القاعدة، وإذا كان الأمر كذلك، فما هي التغييرات التي تم إجراؤها، ومن قبل من، ومن أين ومتى.

تدفق مراقبة الصحة والتدقيق

لبدء جمع بيانات الحماية والتدقيق، تحتاج إلى تمكين مراقبة السلامة والتدقيق في إعدادات Microsoft Sentinel. ثم يمكنك التعمق في بيانات الحماية والتدقيق التي يجمعها Microsoft Sentinel:

النشاط مزيد من المعلومات
قم بتشغيل الاستعلامات على جداول بيانات SentinelHealth و SentinelAudit من صفحة سجلات Microsoft Sentinel.
  • موصلات البيانات
  • قواعد التشغيل التلقائي ودلائل المبادئ (ربط الاستعلام بتشخيصات Azure Logic Apps)
  • قواعد التحليلات
  • استخدم مصنفات التدقيق والمراقبة الصحية المتوفرة في Microsoft Sentinel.
  • موصلات البيانات
  • قواعد التشغيل التلقائي ودلائل المبادئ
  • قواعد التحليلات
  • استخدام أدوات إدارة تنفيذ Microsoft Sentinel لمراقبة وتحسين تنفيذ قواعد التحليلات المجدولة
  • مراقبة وتحسين تنفيذ قواعد التحليلات المجدولة
  • تصدير البيانات إلى وجهات مختلفة، مثل مساحة عمل Log Analytics والأرشفة إلى حساب تخزين والمزيد.
  • إعدادات التشخيص في Azure Monitor