Auditování a monitorování stavu v Microsoft Sentinelu

Microsoft Sentinel je důležitá služba pro pokrok a ochranu zabezpečení technologických a informačních prostředků vaší organizace, takže chcete mít jistotu, že vždy běží hladce a bez zásahu.

Chcete ověřit, že mnoho pohyblivých částí služby vždy funguje tak, jak má, a není manipulováno neoprávněnými akcemi, ať už interními uživateli nebo jinak. Můžete také chtít nakonfigurovat oznámení o posunech stavu nebo neoprávněných akcích, které se mají odeslat relevantním zúčastněným stranám, kteří mohou reagovat nebo schválit odpověď. Můžete například nastavit podmínky pro aktivaci odesílání e-mailů nebo zpráv Microsoft Teams provozním týmům, manažerům nebo důstojníkům, spuštění nových lístků v systému lístků atd.

Tento článek popisuje, jak funkce monitorování stavu a auditování služby Microsoft Sentinel umožňují monitorovat aktivitu některých klíčových prostředků služby a kontrolovat protokoly akcí uživatelů v rámci služby.

Úložiště dat stavu a auditu

Data o stavu a auditu se shromažďují ve dvou tabulkách v pracovním prostoru služby Log Analytics: SentinelHealth a SentinelAudit

Data auditu se shromažďují v tabulce SentinelAudit .

Data o stavu se shromažďují v tabulce SentinelHealth , která zaznamenává události, které zaznamenávají pokaždé, když se spustí pravidlo automatizace, a koncové výsledky těchto spuštění. Tabulka SentinelHealth zahrnuje:

• Ať už akce spuštěné v pravidle proběhnou úspěšně nebo selžou, a playbooky volané pravidlem.
• Události, které zaznamenávají aktivaci playbooků na vyžádání (ruční nebo založené na rozhraní API), včetně identit, které je aktivovaly, a koncových výsledků těchto spuštění

Tabulka SentinelHealth neobsahuje záznam o spuštění obsahu playbooku, pouze jestli byl playbook úspěšně spuštěn. Protokol akcí provedených v playbooku, což jsou pracovní postupy Logic Apps, jsou uvedené v tabulce AzureDiagnostics . AzureDiagnostics poskytuje kompletní přehled o stavu automatizace při použití v kombinaci s daty SentinelHealth.

Nejběžnější způsob, jakým tato data používáte, je dotazování těchto tabulek. Nejlepších výsledků dosáhnete tak, že vytvoříte dotazy na předem připravené funkce v těchto tabulkách, _SentinelHealth() a _SentinelAudit() místo přímého dotazování tabulek. Tyto funkce zajišťují údržbu zpětné kompatibility dotazů v případě, že dojde ke změnám schématu samotných tabulek.

Tabulka SentinelHealth není fakturovatelná a za příjem dat o stavu se neúčtují žádné poplatky. Tabulka SentinelAudit je fakturovatelná a stejně jako v jiných oblastech Microsoft Sentinelu náklady závisí na svazku protokolu, který může mít vliv na počet aktivit a změn provedených v souvisejících pravidlech. Další informace najdete v tématu Plánování nákladů a vysvětlení cen a fakturace služby Microsoft Sentinel.

Důležité

Tabulky dat SentinelHealth a SentinelAudit jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Dotazy k ověření stavu služby a dat auditu

Následující otázky vám povedou monitorování dat Microsoft Sentinelu o stavu a auditu:

Běží datový konektor správně?

Přijímá datový konektor data? Pokud jste například microsoft Sentinelu dali pokyn, aby spustil dotaz každých 5 minut, chcete zkontrolovat, jestli se tento dotaz provádí, jak funguje a jestli existují nějaká rizika nebo ohrožení zabezpečení související s dotazem.

Spustilo se pravidlo automatizace podle očekávání?

Spustilo se pravidlo automatizace, když mělo – to znamená, kdy byly splněny její podmínky? Byly všechny akce v pravidle automatizace úspěšně spuštěny?

Spustilo se analytické pravidlo podle očekávání?

Spustilo se analytické pravidlo, když mělo, a vygenerovalo výsledky? Pokud očekáváte, že ve frontě uvidíte konkrétní incidenty, ale nechcete, chcete vědět, jestli se pravidlo spustilo, ale nenašlo nic (nebo dost věcí) nebo vůbec nespustí.

Došlo k neoprávněným změnám analytického pravidla?

Změnilo se v pravidle něco? Z analytického pravidla jste nedostali očekávané výsledky a neměli jste žádné problémy se stavem. Chcete zjistit, jestli byly v pravidle provedeny nějaké neplánované změny, a pokud ano, jaké změny byly provedeny, kým, odkud a kdy.

Tok monitorování stavu a auditu

Pokud chcete začít shromažďovat data o stavu a auditu, musíte povolit monitorování stavu a auditu v nastavení služby Microsoft Sentinel. Pak se můžete ponořit do dat o stavu a auditu, která Microsoft Sentinel shromažďuje:

Aktivita	Více informací
Spouštění dotazů na tabulkách dat SentinelHealth a SentinelAudit ze stránky Protokoly Microsoft Sentinelu	Datové konektory Pravidla automatizace a playbooky (připojení k dotazu pomocí diagnostiky Azure Logic Apps) Analytická pravidla
Použijte sešity auditování a monitorování stavu poskytované v Microsoft Sentinelu.	Datové konektory Pravidla automatizace a playbooky Analytická pravidla
Použití nástrojů pro správu spouštění služby Microsoft Sentinel k monitorování a optimalizaci provádění pravidel plánované analýzy	Monitorování a optimalizace provádění naplánovaných analytických pravidel
Exportujte data do různých cílů, jako je pracovní prostor služby Log Analytics, archivace do účtu úložiště a další.	Nastavení diagnostiky ve službě Azure Monitor

Související obsah

• Zapnutí auditování a monitorování stavu v Microsoft Sentinelu
• Monitorování stavu pravidel automatizace a playbooků
• Monitorování stavu datových konektorů
• Monitorování stavu a integrity analytických pravidel
• Monitorování stavu systému SAP
• Schémata tabulek SentinelHealth a SentinelAudit