Monitorování stavu a audit integrity analytických pravidel

Pokud chcete zajistit komplexní, nepřerušovanou a manipulující detekci hrozeb ve službě Microsoft Sentinel, sledujte stav a integritu analytických pravidel a udržujte je v optimálním fungování, monitorováním přehledů spouštění, dotazováním protokolů stavu a auditu a ručním opětovným spuštěním a testováním a optimalizací pravidel.

Nastavte oznámení o událostech stavu a auditu pro relevantní zúčastněné strany, kteří pak můžou provádět akce. Můžete například definovat a posílat e-maily nebo zprávy Microsoft Teams, vytvářet nové lístky v systému lístků atd.

Tento článek popisuje, jak pomocí funkcí auditování a monitorování stavu služby Microsoft Sentinel sledovat stav a integritu analytických pravidel v rámci služby Microsoft Sentinel.

Informace o přehledech pravidel a ručním opětovném spuštění pravidel najdete v tématu Monitorování a optimalizace provádění plánovaných analytických pravidel.

Důležité

Tabulky dat SentinelHealth a SentinelAudit jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Shrnutí

• Protokoly stavu analytického pravidla Microsoft Sentinelu:

  • Tento protokol zaznamenává události, které zaznamenávají spuštění analytických pravidel a konečný výsledek těchto spuštění – pokud byly úspěšné nebo neúspěšné, a pokud selhaly, proč.
  • Protokol také zaznamenává pro každé spuštění analytického pravidla:
    • Kolik událostí zachytávaly dotaz pravidla.
    • Určuje, jestli počet událostí předal prahovou hodnotu definovanou v pravidle, což způsobí, že pravidlo aktivuje výstrahu.

  Tyto protokoly se shromažďují v tabulce SentinelHealth v Log Analytics.

• Protokoly auditu analytických pravidel Microsoft Sentinelu:

  • Tento protokol zaznamenává události, které zaznamenávají změny provedené v jakémkoli analytickém pravidle, včetně následujících podrobností:
    • Název pravidla, které bylo změněno.
    • Které vlastnosti pravidla byly změněny.
    • Stav nastavení pravidla před a po změně.
    • Uživatel nebo identita, které provedly změnu.
    • Zdrojová IP adresa a datum a čas změny.
    • ... a další.

  Tyto protokoly se shromažďují v tabulce SentinelAudit v Log Analytics.

Použití tabulek dat SentinelHealth a SentinelAudit (Preview)

Pokud chcete získat data o stavu a auditu z tabulek popsaných výše, musíte nejprve zapnout funkci stavu služby Microsoft Sentinel pro váš pracovní prostor. Další informace najdete v tématu Zapnutí auditování a monitorování stavu pro Microsoft Sentinel.

Jakmile je funkce stavu zapnutá, vytvoří se tabulka dat SentinelHealth při první úspěšné nebo neúspěšné události vygenerované pro pravidla automatizace a playbooky.

Principy událostí tabulek SentinelHealth a SentinelAudit

V tabulce SentinelHealth jsou zaznamenány následující typy událostí stavu analytického pravidla:

• Naplánované spuštění analytického pravidla

• Spuštění analytického pravidla NRT

  Další informace najdete ve schématu sloupců tabulky SentinelHealth.

V tabulce SentinelAudit se protokolují následující typy událostí auditu analytických pravidel:

• Vytvoření nebo aktualizace analytického pravidla

• Analytické pravidlo bylo odstraněno.

  Další informace najdete ve schématu sloupců tabulky SentinelAudit.

Spouštění dotazů pro detekci problémů se stavem a integritou

Pro zajištění nejlepších výsledků byste měli vytvářet dotazy na předem připravené funkce v těchto tabulkách, _SentinelHealth() a _SentinelAudit() místo přímého dotazování tabulek. Tyto funkce zajišťují údržbu zpětné kompatibility dotazů v případě, že dojde ke změnám schématu samotných tabulek.

V prvním kroku by vaše dotazy měly filtrovat tabulky pro data související s analytickými pravidly. SentinelResourceType Použijte parametr.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Pokud chcete, můžete seznam dále filtrovat podle konkrétního typu analytického pravidla. SentinelResourceKind Použijte parametr pro tento parametr.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Tady je několik ukázkových dotazů, které vám pomůžou začít:

• Vyhledejte pravidla, která se nespustí úspěšně:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Status != "Success"
  

• Vyhledejte pravidla, která byla automaticky zakázaná:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Reason == "The analytics rule is disabled and was not executed."
  

• Spočítejte pravidla a spuštění, která byla úspěšná nebo neúspěšná, z nějakého důvodu:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
  

• Vyhledání aktivity odstranění pravidla:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | where Description =="Analytics rule deleted"
  

• Vyhledejte aktivitu pravidel podle názvu pravidla a názvu aktivity:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
  

• Vyhledejte aktivitu pravidel podle názvu volajícího (identita, která aktivitu provedla):

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | extend Caller= tostring(ExtendedProperties.CallerName)
  | summarize Count = count() by Caller, Activity=Description
  

Stavy, chyby a navrhované kroky

U naplánovaného spuštění analytického pravidla nebo spuštění analytického pravidla NRT se může zobrazit některý z následujících stavů a popisů:

• Úspěch: Pravidlo se úspěšně spustilo a vygeneruje <n> výstrahy.

• Úspěch: Pravidlo se úspěšně spustilo, ale nedosáhlo prahové hodnoty (<n>) potřebné k vygenerování výstrahy.

• Selhání: Jedná se o možné popisy selhání pravidla a o tom, co s nimi můžete dělat.

  Popis	Náprava
  Při spuštění dotazu došlo k vnitřní chybě serveru.
  Vypršel časový limit provádění dotazu.
  Tabulka odkazovaná v dotazu nebyla nalezena.	Ověřte, že je příslušný zdroj dat připojený.
  Při spuštění dotazu došlo k sémantické chybě.	Zkuste resetovat analytické pravidlo úpravou a uložením (beze změny nastavení).
  Funkce volaná dotazem má název s vyhrazeným slovem.	Odeberte nebo přejmenujte funkci.
  Při spuštění dotazu došlo k chybě syntaxe.	Zkuste resetovat analytické pravidlo úpravou a uložením (beze změny nastavení).
  Pracovní prostor neexistuje.
  Tento dotaz se zjistil, že používá příliš mnoho systémových prostředků a zabránil spuštění.	Zkontrolujte a vylaďte analytické pravidlo. Projděte si naši dotazovací jazyk Kusto přehled a dokumentaci k osvědčeným postupům.
  Funkce volaná dotazem nebyla nalezena.	Ověřte existenci ve vašem pracovním prostoru všech funkcí volaných dotazem.
  Pracovní prostor použitý v dotazu nebyl nalezen.	Ověřte, že existují všechny pracovní prostory v dotazu.
  Nemáte oprávnění ke spuštění tohoto dotazu.	Zkuste resetovat analytické pravidlo úpravou a uložením (beze změny nastavení).
  Nemáte přístupová oprávnění k jednomu nebo více prostředkům v dotazu.
  Dotaz odkazuje na cestu k úložišti, která nebyla nalezena.
  Dotaz byl odepřen přístup k cestě k úložišti.
  V tomto pracovním prostoru je definováno více funkcí se stejným názvem.	Odeberte nebo přejmenujte redundantní funkci a resetujte pravidlo úpravou a uložením.
  Tento dotaz nevrátil žádný výsledek.
  V tomto dotazu není povoleno více sad výsledků.
  Výsledky dotazu obsahují nekonzistentní počet polí na řádek.
  Spuštění pravidla bylo zpožděno kvůli dlouhým časům příjmu dat.
  Spuštění pravidla bylo zpožděno kvůli dočasným problémům.
  Výstraha nebyla rozšířena kvůli dočasným problémům.
  Upozornění nebylo rozšířeno kvůli problémům s mapováním entit.
  <Počet entit se kvůli limitu velikosti výstrahy 32 kB vynechal v názvu> výstrahy<.>
  <Kvůli problémům s mapováním entit došlo k vyřazení entit v názvu> upozornění<.>
  Výsledkem dotazu byly <číselné> události, které překračují maximální počet výsledků povolených <> pro< pravidla typu> pravidla s konfigurací seskupení událostí výstrah na řádek. Pro první <události limitu 1> se vygenerovala výstraha na řádek a pro všechny události se vygenerovala další agregovaná výstraha. - <number> = počet událostí vrácených dotazem - <limit> = aktuálně 150 výstrah pro naplánovaná pravidla, 30 pro pravidla NRT – <typ> pravidla = Naplánovaný nebo NRT

Použití sešitu auditování a monitorování stavu

1. Pokud chcete sešit zpřístupnit ve vašem pracovním prostoru, musíte řešení sešitu nainstalovat z centra obsahu Služby Microsoft Sentinel:

   1. Na portálu Microsoft Sentinel vyberte v nabídce Správa obsahu centrum obsahu (Preview).

   2. V centru obsahu zadejte do panelu hledání stav a ve výsledcích vyberte Analytics Health &Audit (Analýza stavu a audit).

      

   3. V podokně podrobností vyberte Instalovat a pak vyberte Uložit , která se zobrazí na svém místě.

2. Když řešení indikuje, že je nainstalované, vyberte Sešity z nabídky Správa hrozeb.

   

3. V galerii Sešity vyberte kartu Šablony, do vyhledávacího panelu zadejte stav a z výsledků vyberte Analýza stavu a audit.

   

4. Výběrem možnosti Uložit v podokně podrobností vytvořte upravitelnou a použitelnou kopii sešitu. Po vytvoření kopie vyberte Zobrazit uložený sešit.

5. Jakmile v sešitu vyberete předplatné a pracovní prostor, které chcete zobrazit (můžou už být vybrané), pak definujte timerange a vyfiltrujte data podle svých potřeb. Pomocí přepínače Zobrazit nápovědu zobrazíte místní vysvětlení sešitu.

   

V tomto sešitu jsou tři oddíly s kartami:

Karta Přehled

Na kartě Přehled se zobrazují souhrny stavu a auditu:

• Souhrny stavu analytického pravidla se spouští ve vybraném pracovním prostoru: počet spuštění, úspěšnosti a selhání a podrobnosti o událostech selhání.
• Souhrny aktivit týkající se analytických pravidel ve vybraném pracovním prostoru: počet aktivit v průběhu času, počet aktivit podle typu a počet aktivit různých typů podle pravidel.

Karta Stav

Karta Stav umožňuje přejít k podrobnostem o konkrétních událostech stavu.

• Vyfiltrujte data celé stránky podle stavu (úspěch/selhání) a typu pravidla (scheduled/NRT).
• Prohlédněte si trendy úspěšných nebo neúspěšných spuštění pravidel (v závislosti na filtru stavu) ve vybraném časovém období. Graf trendu můžete "štětcem času" zobrazit podmnožinu původního časového rozsahu.
• Filtrujte zbytek stránky podle důvodu.
• Podívejte se na celkový počet spuštění pro všechna analytická pravidla, která se zobrazují úměrně podle stavu ve výsečovém grafu.
• Následuje tabulka zobrazující počet spuštěných jedinečných analytických pravidel rozdělených podle typu a stavu pravidla.
  • Výběrem stavu vyfiltrujte zbývající grafy pro tento stav.
  • Vymažte filtr výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu.
• Podívejte se na každý stav s počtem možných důvodů tohoto stavu. (Zobrazí se pouze důvody reprezentované ve vybraných časových obdobích.)
  • Výběrem stavu vyfiltrujte zbývající grafy pro tento stav.
  • Vymažte filtr výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu.
• V dalším kroku se podívejte na seznam těchto důvodů s celkovým počtem spuštěných pravidel a počtem jedinečných pravidel, která byla spuštěna.
  • Z tohoto důvodu vyberte důvod filtrování následujících grafů.
  • Vymažte filtr výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu.
• Potom je seznam jedinečných analytických pravidel, která se spustila, s nejnovějšími výsledky a spojnicemi trendu jejich úspěchu nebo selhání (v závislosti na stavu vybraném k filtrování seznamu).
  • Vyberte pravidlo pro přechod k podrobnostem a zobrazte novou tabulku se všemi běhy tohoto pravidla (ve vybraném časovém rámci).
  • Tuto tabulku vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět).
• Pokud jste v seznamu výše vybrali pravidlo, zobrazí se nová tabulka s podrobnostmi o stavu vybraného pravidla.

Karta Audit

Karta Audit umožňuje přejít k podrobnostem o konkrétních událostech auditu.

• Vyfiltrujte data celé stránky podle typu pravidla auditu (scheduled/Fusion).
• Prohlédněte si trendy auditované aktivity v analytických pravidlech za vybrané časové období. Graf trendu můžete "štětcem času" zobrazit podmnožinu původního časového rozsahu.
• Podívejte se na počet auditovaných událostí rozdělených podle aktivity a typu pravidla.
  • Vyberte aktivitu a vyfiltrujte pro tuto aktivitu následující grafy.
  • Vymažte filtr výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu.
• Podívejte se na počet auditovaných událostí podle názvu pravidla.
  • Výběrem názvu pravidla vyfiltrujte následující tabulku pro toto pravidlo a přejděte k podrobnostem a zobrazte novou tabulku se všemi aktivitami tohoto pravidla (ve vybraném časovém rámci). (Podívejte se na následující snímek obrazovky.)
  • Vymažte filtr výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu.
• Podívejte se na počet auditovaných událostí volajícím (identita, která aktivitu provedla).
• Pokud jste v grafu zobrazeném výše vybrali název pravidla, zobrazí se v jiné tabulce auditované aktivity tohoto pravidla. Výběrem hodnoty, která se zobrazí jako odkaz ve sloupci ExtendedProperties, otevřete boční panel zobrazující změny provedené v pravidle.

Další kroky

• Monitorování a optimalizace spouštění analytických pravidel v Microsoft Sentinelu
• Přečtěte si o auditování a monitorování stavu v Microsoft Sentinelu.
• Zapněte auditování a monitorování stavu v Microsoft Sentinelu.
• Monitorujte stav pravidel automatizace a playbooků.
• Monitorujte stav datových konektorů.
• Další informace o schématech tabulek SentinelHealth a SentinelAudit