Auditování a monitorování stavu v Microsoft Sentinel

Microsoft Sentinel je kritická služba pro zlepšení a ochranu zabezpečení technologických a informačních prostředků vaší organizace, takže chcete mít jistotu, že vždy běží hladce a bez zásahů.

Chcete ověřit, že mnoho pohyblivých částí služby vždy funguje podle očekávání a že s ní nejsou manipulovány neoprávněnými akcemi, ať už interními uživateli nebo jinak. Můžete také nakonfigurovat oznámení o posunech stavu nebo neoprávněných akcích tak, aby se odesílala příslušným zúčastněným stranám, které můžou reagovat nebo schvalovat odpověď. Můžete například nastavit podmínky pro aktivaci odesílání e-mailů nebo zpráv Microsoft Teams provozním týmům, manažerům nebo důstojníkům, spouštění nových lístků v systému lístků atd.

Tento článek popisuje, jak funkce monitorování a auditování stavu Microsoft Sentinel umožňují monitorovat aktivitu některých klíčových prostředků služby a kontrolovat protokoly uživatelských akcí v rámci služby.

Stav a úložiště dat auditu

Data o stavu a auditu se shromažďují ve dvou tabulkách ve vašem pracovním prostoru služby Log Analytics: SentinelHealth a SentinelAudit

Data auditu se shromažďují v tabulce SentinelAudit .

Data o stavu se shromažďují v tabulce SentinelHealth , která zaznamenává události, které zaznamenávají při každém spuštění pravidla automatizace a konečné výsledky těchto spuštění. Tabulka SentinelHealth obsahuje:

• Zda jsou akce spuštěné v pravidle úspěšné nebo neúspěšné, a playbooky volané pravidlem.
• Události, které zaznamenávají aktivaci playbooků na vyžádání (ruční nebo na základě rozhraní API), včetně identit, které je aktivovaly, a koncových výsledků těchto spuštění

Tabulka SentinelHealth neobsahuje záznam o spuštění obsahu playbooku, pouze to, jestli byl playbook úspěšně spuštěn. V tabulce AzureDiagnostics je uvedený protokol akcí provedených v playbooku, což jsou pracovní postupy Logic Apps. AzureDiagnostics poskytuje úplný přehled o stavu automatizace, pokud je používáte společně s daty SentinelHealth.

Nejběžnější způsob, jak tato data používat, je dotazování těchto tabulek. Nejlepších výsledků dosáhnete, když budete dotazy vytvářet na předem připravených funkcích v těchto tabulkách , _SentinelHealth() a _SentinelAudit(), a nemusíte se přímo dotazovat na tabulky. Tyto funkce zajišťují údržbu zpětné kompatibility dotazů v případě, že dojde ke změnám schématu samotných tabulek.

Tabulka SentinelHealth se neúčtuje a za příjem dat o stavu se neúčtují žádné poplatky. Tabulka SentinelAudit je fakturovatelná a stejně jako v jiných oblastech Microsoft Sentinel i náklady závisí na objemu protokolů, který může být ovlivněn počtem aktivit a změn provedených na souvisejících pravidlech. Další informace najdete v tématu Plánování nákladů a vysvětlení Microsoft Sentinel cen a fakturace.

Dotazy týkající se ověření stavu služby a dat auditu

Při monitorování stavu a dat auditu Microsoft Sentinel použijte následující otázky:

Funguje datový konektor správně?

Přijímá datový konektor data? Pokud jste například Microsoft Sentinel dali pokyn, aby každých 5 minut spustili dotaz, chcete zkontrolovat, jestli se dotaz provádí, jak funguje a jestli s dotazem nesouvisí nějaká rizika nebo ohrožení zabezpečení.

Spustilo se pravidlo automatizace podle očekávání?

Spustilo se vaše pravidlo automatizace, když mělo, tedy při splnění jeho podmínek? Proběhly všechny akce v pravidle automatizace úspěšně?

Spustilo se analytické pravidlo podle očekávání?

Spustilo se analytické pravidlo, když mělo, a vygenerovalo výsledky? Pokud očekáváte, že se ve vaší frontě zobrazí konkrétní incidenty, ale ne, chcete vědět, jestli se pravidlo spustilo, ale nenašlo nic (nebo dost věcí) nebo jestli se vůbec nespustilo.

Byly v analytickém pravidle provedeny neoprávněné změny?

Změnilo se něco v pravidle? Nedostali jste výsledky, které jste od analytického pravidla očekávali, a nemělo žádné problémy se stavem. Chcete zjistit, jestli byly v pravidle provedeny nějaké neplánované změny, a pokud ano, jaké změny byly provedeny, kým, odkud a kdy.

Tok monitorování stavu a auditu

Pokud chcete začít shromažďovat data o stavu a auditování, musíte v nastavení Microsoft Sentinel povolit monitorování stavu a auditu. Pak se můžete ponořit do dat o stavu a auditu, která Microsoft Sentinel shromažďovat:

Activity	Další informace
Spusťte dotazy na tabulky dat SentinelHealth a SentinelAudit ze stránky Microsoft Sentinel Protokoly.	Datové konektory Pravidla a playbooky automatizace (připojení dotazu pomocí diagnostiky Azure Logic Apps) Analytická pravidla
Použijte sešity auditování a monitorování stavu, které jsou k dispozici v Microsoft Sentinel.	Datové konektory Pravidla a playbooky automatizace Analytická pravidla
Monitorování a optimalizace provádění pravidel naplánované analýzy pomocí nástrojů pro správu spouštění Microsoft Sentinel	Monitorování a optimalizace provádění plánovaných analytických pravidel
Exportujte data do různých cílů, jako je pracovní prostor služby Log Analytics, archivace do účtu úložiště a další.	Nastavení diagnostiky ve službě Azure Monitor

Související obsah

• Zapnutí auditování a monitorování stavu v Microsoft Sentinel
• Monitorování stavu pravidel automatizace a playbooků
• Monitorování stavu datových konektorů
• Monitorování stavu a integrity analytických pravidel
• Monitorování stavu systému SAP
• Schémata tabulek SentinelHealth a SentinelAudit