Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Monitorujte stav a auditujte integritu podporovaných prostředků Microsoft Sentinel zapnutím funkce auditování a monitorování stavu na stránce Nastavení Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny stavu úspěšného na neúspěšné, a o neoprávněných akcích a použijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.
Pokud chcete získat data o stavu z tabulky dat SentinelHealth nebo získat informace o auditování z tabulky dat SentinelAudit, musíte nejprve zapnout funkci Microsoft Sentinel auditování a monitorování stavu pro váš pracovní prostor. V tomto článku se dozvíte, jak tyto funkce zapnout.
Pokud chcete implementovat funkci stavu a auditu pomocí rozhraní API (Bicep, AZURE RESOURCE MANAGER (ARM)/REST), projděte si operace nastavení diagnostiky. Informace o konfiguraci doby uchovávání pro události auditu a stavu najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.
Požadavky
- Než začnete, přečtěte si další informace o monitorování a auditování stavu v Microsoft Sentinel. Další informace najdete v tématu Auditování a monitorování stavu v Microsoft Sentinel.
Zapnutí auditování a monitorování stavu pro váš pracovní prostor
Začněte tím, že v nastavení Microsoft Sentinel povolíte auditování a monitorování stavu.
Pro Microsoft Sentinel v Azure Portal vyberte v části Konfiguracemožnost Nastavení>.
Pokud chcete Microsoft Sentinel na portálu Defender, v části Systém vyberte Nastavení>Microsoft Sentinel.Vyberte Auditování a monitorování stavu.
Výběrem možnosti Povolit povolte auditování a monitorování stavu u všech typů prostředků a odešlete data auditování a monitorování do pracovního prostoru Microsoft Sentinel (a nikam jinam).
Nebo vyberte odkaz Konfigurovat nastavení diagnostiky a povolte monitorování stavu pouze pro kolektor dat nebo prostředky automatizace, nebo nakonfigurujte rozšířené možnosti, například více míst pro odesílání dat.
Pokud jste vybrali Povolit, tlačítko se zobrazí šedě a změní se na Povolení ... a pak Povoleno. V tomto okamžiku je povolené auditování a monitorování stavu a máte hotovo! Příslušná nastavení diagnostiky byla přidána na pozadí a můžete je zobrazit a upravit výběrem odkazu Konfigurovat nastavení diagnostiky .
Pokud jste vybrali Konfigurovat nastavení diagnostiky, pak na obrazovce Nastavení diagnostiky vyberte + Přidat nastavení diagnostiky.
(Pokud upravujete existující nastavení, vyberte ho ze seznamu nastavení diagnostiky.)
Do pole Název nastavení diagnostiky zadejte smysluplný název nastavení.
Ve sloupci Protokoly vyberte odpovídající kategorie pro typy prostředků, které chcete monitorovat, například Shromažďování dat – Konektory. Pokud chcete monitorovat analytická pravidla, vyberte všechnyLogy .
V části Podrobnosti o cíli vyberte Odeslat do pracovního prostoru služby Log Analytics a v rozevíracích nabídkách vyberte předplatné a pracovní prostor služby Log Analytics .
Pokud potřebujete, můžete kromě pracovního prostoru služby Log Analytics vybrat i další cíle, do kterých chcete data odeslat.
Nové nastavení uložíte tak, že vyberete Uložit na horním banneru.
Tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.
Ověřte, že tabulky přijímají data.
Spusťte dotazy dotazovací jazyk Kusto (KQL) na Azure Portal nebo na portálu Defender, abyste měli jistotu, že získáváte data o stavu a auditování.
Pro Microsoft Sentinel v Azure Portal vyberte v části Obecnémožnost Protokoly.
Pokud chcete Microsoft Sentinel na portálu Defender, v části Šetření & odpověď vyberte Rozšířené proaktivní vyhledávání>.Spusťte dotaz na tabulku SentinelHealth . Příklady:
_SentinelHealth() | take 20Spusťte dotaz na tabulku SentinelAudit . Příklady:
_SentinelAudit() | take 20
Podporované datové tabulky a typy prostředků
Když je funkce zapnutá, vytvoří se tabulky dat SentinelHealth a SentinelAudit při první události vygenerované pro vybrané prostředky.
Microsoft Sentinel monitorování stavu v současné době podporuje následující typy prostředků:
- Analytická pravidla
- Datové konektory
- Pravidla automatizace
- Playbooky (pracovní postupy Azure Logic Apps)
Poznámka
Při monitorování stavu playbooku nezapomeňte z playbooků shromažďovat diagnostické události Azure Logic Apps, abyste získali úplný přehled o aktivitě playbooku. Další informace najdete v tématu Monitorování stavu pravidel automatizace a playbooků.
Auditování se v současné době podporuje pouze typ prostředku analytického pravidla.