Monitorování stavu a audit integrity analytických pravidel

Pokud chcete zajistit komplexní, nepřerušovanou detekci hrozeb bez manipulace ve službě Microsoft Sentinel, sledujte stav a integritu analytických pravidel. Udržujte je v optimálním fungování monitorováním jejich přehledů o provádění, dotazováním na protokoly stavu a auditování a použitím ručního opětovného spuštění k testování a optimalizaci pravidel.

Nastavte oznámení o stavu a událostech auditu pro relevantní zúčastněné strany, které pak můžou podniknout akce. Můžete například definovat a posílat e-maily nebo zprávy Microsoft Teams, vytvářet nové lístky v systému lístků atd.

Tento článek popisuje, jak pomocí funkcí auditování a monitorování stavu Microsoft Sentinel sledovat stav a integritu analytických pravidel z Microsoft Sentinel.

Informace o přehledech pravidel a ručním spouštění pravidel najdete v tématu Monitorování a optimalizace provádění pravidel naplánovaných analýz.

Souhrn

  • Microsoft Sentinel analytické protokoly stavu pravidel:

    • Tento protokol zaznamenává události, které zaznamenávají spuštění analytických pravidel, a konečný výsledek těchto spuštění – jestli byla úspěšná nebo neúspěšná, a pokud selhala, proč.
    • Protokol také zaznamenává pro každé spuštění analytického pravidla:
      • Kolik událostí dotaz pravidla zaznamenal
      • Určuje, jestli počet událostí překročil prahovou hodnotu definovanou v pravidle, což způsobí, že pravidlo aktivuje výstrahu.

    Tyto protokoly se shromažďují v tabulce SentinelHealth v Log Analytics.

  • protokoly auditu Microsoft Sentinel analytických pravidel:

    • Tento protokol zaznamenává události, které zaznamenávají změny provedené v libovolném analytickém pravidlu, včetně následujících podrobností:
      • Název pravidla, které bylo změněno.
      • Které vlastnosti pravidla byly změněny.
      • Stav nastavení pravidla před a po změně.
      • Uživatel nebo identita, která změnu provedla.
      • Zdrojová IP adresa a datum a čas změny.
      • ... a další.

    Tyto protokoly se shromažďují v tabulce SentinelAudit v Log Analytics.

Použití tabulek dat SentinelHealth a SentinelAudit

Pokud chcete získat data o auditu a stavu z výše popsaných tabulek, musíte nejprve zapnout funkci Microsoft Sentinel stavu pro váš pracovní prostor. Další informace najdete v tématu Zapnutí auditování a monitorování stavu pro Microsoft Sentinel.

Jakmile je funkce stavu zapnutá, vytvoří se tabulka dat SentinelHealth při první události úspěchu nebo selhání vygenerované pro pravidla automatizace a playbooky.

Principy událostí tabulek SentinelHealth a SentinelAudit

Tabulka SentinelHealth protokoluje následující typy událostí stavu analytického pravidla:

  • Naplánované spuštění analytického pravidla
  • Spuštění analytického pravidla NRT

Další informace najdete v tématu Schéma sloupců tabulky SentinelHealth.

Tabulka SentinelAudit protokoluje následující typy událostí auditu analytických pravidel:

  • Vytvoření nebo aktualizace analytického pravidla
  • Analytické pravidlo se odstranilo.

Další informace najdete v tématu Schéma sloupců tabulky SentinelAudit.

Spouštění dotazů za účelem zjištění problémů se stavem a integritou

Nejlepších výsledků dosáhnete, když budete dotazy vytvářet na předem připravených funkcích pro tyto tabulky , _SentinelHealth() a _SentinelAudit(), a nemusíte se dotazovat přímo na tabulky. Tyto funkce udržují zpětnou kompatibilitu dotazů, pokud dojde ke změnám schématu tabulek.

Jako první krok vyfiltrujte v tabulkách data související s analytickými pravidly. SentinelResourceType Použijte parametr .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Pokud chcete, můžete v seznamu dále filtrovat konkrétní typ analytického pravidla. Použijte k SentinelResourceKind tomu parametr .

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Tady je několik ukázkových dotazů, které vám pomůžou začít:

  • Vyhledejte pravidla, která jsou "automatickydisabled":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Spočítejte pravidla a spuštění, která byla úspěšná nebo neúspěšná, podle důvodu:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Najít aktivitu odstranění pravidla:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Vyhledejte aktivitu v pravidlech podle názvu pravidla a názvu aktivity:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Vyhledejte aktivitu v pravidlech podle názvu volajícího (identity, která aktivitu provedla):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci k Kusto:

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací:

Naplánovaná pravidla

Pokud pravidlo plánu selže, opakuje se to ještě pětkrát ve stejném okně. Pravidlo nepřeskočí okno a nezmešká upozornění, pokud je jeden ze šesti pokusů úspěšný.

Selhání v jednom z šesti pokusů značí zpoždění při aktivaci výstrahy. Následující dotaz vypočítá přesné zpoždění:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Pokud chcete vyhledat úplná selhání (to znamená přeskočené okno), použijte následující dotaz:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Tento dotaz vyhledá pravidlo naplánované analýzy, ve kterém se žádné z těchto šesti opakování nepovedlo. Opakování můžete identifikovat tak, že se podíváte na čas zahájení okna pravidla, protože opakování se vždy dívá na původní čas spuštění. Tento dotaz vám poskytne množství přeskočených oken pro každé analytické pravidlo. Očekáváme, že přeskočená okna budou vzácná. Pokud zjistíte, že máte analytická pravidla se přeskakovanými okny, pomocí dotazů porozumíte příčině selhání těchto konkrétních pravidel a tabulce důvodů selhání a zmírnění rizik je opravte.

Pravidla NRT

Mechanismus opakování pravidel NRT se chová jinak než naplánovaná pravidla. Pokud se pravidlo nepodaří spustit, systém v dalším spuštění (o minutu později) zváží i neúspěšné okno. Toto chování trvá až 60 selhání (jedna hodina).

Vzhledem k tomu, že jedno selhání konkrétního spuštění odráží pouze minutové zpoždění, nedívejte se na jednotlivá selhání. Místo toho použijte následující dotaz ke sledování zpoždění každého analytického pravidla:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Můžete také definovat analytické pravidlo, které aktivuje upozornění na významné zpoždění (například pokud má pravidlo NRT zpoždění delší než 10 minut).

Stavy, chyby a navrhované kroky

U spuštění pravidel naplánované analýzy nebo analytického pravidla NRT se může zobrazit některý z následujících stavů a popisů:

  • Úspěch: Pravidlo se úspěšně spustilo a generuje <n> výstrahy.

  • Úspěch: Pravidlo se úspěšně spustilo, ale nedosáhlo prahové hodnoty (<n>) požadované k vygenerování výstrahy.

  • Selhání: Tyto popisy vysvětlují selhání pravidel a to, co s nimi můžete dělat.

    Popis Nápravných
    Při spuštění dotazu došlo k vnitřní chybě serveru.
    Vypršel časový limit provádění dotazu.
    Tabulka odkazovaná v dotazu nebyla nalezena. Ověřte, že je příslušný zdroj dat připojený.
    Při spuštění dotazu došlo k sémantické chybě. Zkuste analytické pravidlo resetovat tak, že ho upravíte a uložíte (beze změny nastavení).
    Funkce volaná dotazem má název s vyhrazeným slovem. Odeberte nebo přejmenujte funkci.
    Při spouštění dotazu došlo k chybě syntaxe. Zkuste analytické pravidlo resetovat tak, že ho upravíte a uložíte (beze změny nastavení).
    Pracovní prostor neexistuje.
    Tento dotaz používá příliš mnoho systémových prostředků a jeho spuštění se zabránilo. Zkontrolujte a vylaďte analytické pravidlo. Projděte si naši dotazovací jazyk Kusto přehled a dokumentaci k osvědčeným postupům.
    Funkce volaná dotazem nebyla nalezena. Ověřte, že v pracovním prostoru existují všechny funkce volané dotazem.
    Pracovní prostor použitý v dotazu nebyl nalezen. Ověřte, že existují všechny pracovní prostory v dotazu.
    Nemáte oprávnění ke spuštění tohoto dotazu. Zkuste analytické pravidlo resetovat tak, že ho upravíte a uložíte (beze změny nastavení).
    Nemáte přístupová oprávnění k jednomu nebo více prostředkům v dotazu.
    Dotaz odkazuje na cestu k úložišti, která se nenašla.
    Dotazu byl odepřen přístup k cestě k úložišti.
    V tomto pracovním prostoru je definováno více funkcí se stejným názvem. Odeberte nebo přejmenujte redundantní funkci a resetujte pravidlo úpravou a uložením.
    Tento dotaz nevrátil žádný výsledek.
    Více sad výsledků v tomto dotazu není povoleno.
    Výsledky dotazu obsahují nekonzistentní počet polí na řádek.
    Spuštění pravidla bylo zpožděno kvůli dlouhé době příjmu dat.
    Spuštění pravidla se zpozdilo kvůli dočasným problémům.
    Upozornění nebylo rozšířeno kvůli dočasným problémům.
    Upozornění nebylo rozšířeno kvůli problémům s mapováním entit.
    < Číslo> Entity se v názvu> upozornění < vyřadily z důvodu limitu velikosti upozornění 32 kB.
    < Číslo> entity se v názvu> upozornění < vyřadily kvůli problémům s mapováním entit.
    Výsledkem dotazu byly <události počtu>, které překračují maximální povolený počet>< výsledků pro < pravidla typu> pravidla s konfigurací seskupení událostí upozornění na řádek. Upozornění na řádek se vygenerovalo pro první < události limitu 1> a další agregované upozornění se vygenerovalo pro všechny události.
    - <number> = počet událostí vrácených dotazem
    - <limit> = aktuálně 150 výstrah pro plánovaná pravidla, 30 pro pravidla NRT
    - <rule type> = Scheduled nebo NRT

Použití sešitu auditování a monitorování stavu

  1. Pokud chcete sešit zpřístupnit ve svém pracovním prostoru, nainstalujte řešení sešitu z centra obsahu Microsoft Sentinel:

    1. Na portálu Microsoft Sentinel vyberte v nabídce Správa obsahumožnost Centrum obsahu (Preview).

    2. V centru Obsah zadejte do vyhledávacího panelu stav a ve výsledcích vyberte Analytics Health & Audit z možností Řešení sešitů v části Samostatné .

      Snímek obrazovky s výběrem sešitu stavu analýzy z centra obsahu

    3. V podokně podrobností vyberte Nainstalovat a pak vyberte Uložit , která se zobrazí na jejím místě.

  2. Když řešení indikuje, že je nainstalované, vyberte Sešity v nabídce Správa hrozeb .

    Snímek obrazovky označující, že řešení analytického sešitu stavu je nainstalované z centra obsahu

  3. V galerii Sešity vyberte kartu Šablony , do panelu hledání zadejte stav a z výsledků vyberte Analytics Health & Audit .

    Snímek obrazovky s výběrem analytického sešitu stavu z galerie šablon

  4. V podokně podrobností vyberte Uložit a vytvořte upravitelnou a použitelnou kopii sešitu. Po vytvoření kopie vyberte Zobrazit uložený sešit.

  5. Jakmile jste v sešitu, nejprve vyberte předplatné a pracovní prostor , které chcete zobrazit (možná už jsou vybrané), a pak definujte TimeRange a vyfiltrujte data podle svých potřeb. Pomocí přepínače Zobrazit nápovědu můžete zobrazit místní vysvětlení sešitu.

    Snímek obrazovky se sešitem s přehledem stavu analytických pravidel

Tento sešit má tři oddíly s kartami:

Karta Přehled

Na kartě Přehled se zobrazují souhrny stavu a auditu:

  • Souhrny stavu analytického pravidla spuštěného ve vybraném pracovním prostoru: počet spuštění, úspěch a selhání a podrobnosti o událostech selhání.
  • Souhrny auditů aktivit na analytických pravidlech ve vybraném pracovním prostoru: počet aktivit v průběhu času, počet aktivit podle typu a počet aktivit různých typů podle pravidla.

Karta Stav

Karta Stav umožňuje prozkoumat konkrétní události stavu.

Snímek obrazovky s výběrem karty stav v sešitu o stavu analýzy

  • Filtrovat data celé stránky podle stavu (úspěch nebo neúspěch) a typu pravidla (naplánované nebo NRT).
  • Prohlédněte si trendy úspěšných a neúspěšných spuštění pravidel (v závislosti na filtru stavu) ve vybraném časovém období. Graf trendu můžete "vyčistit časem", abyste viděli podmnožinu původního časového rozsahu. Snímek obrazovky se spouštěním analytických pravidel v průběhu času v sešitu o stavu analýzy
  • Vyfiltrujte zbytek stránky podle důvodu.
  • Podívejte se na celkový počet spuštění pro všechna analytická pravidla, která se zobrazují proporcionálně podle stavu ve výsečovém grafu.
  • Následuje tabulka znázorňující počet spuštěných jedinečných analytických pravidel rozdělených podle typu a stavu pravidla.
    • Vyberte stav a vyfiltrujte zbývající grafy pro tento stav.
    • Filtr vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět). Snímek obrazovky s počtem pravidel spuštěných podle stavu a typu v sešitu stavu analýzy
  • Podívejte se na jednotlivé stavy s počtem možných důvodů tohoto stavu. (Zobrazí se pouze důvody uvedené v běhech ve vybraném časovém rámci.)
    • Vyberte stav a vyfiltrujte zbývající grafy pro tento stav.
    • Filtr vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět). Snímek obrazovky s řadou jedinečných důvodů podle stavu v sešitu stavu analýzy
  • Dále se podívejte na seznam těchto důvodů s celkovým počtem spuštění pravidel a počtem jedinečných pravidel, která byla spuštěna.
    • Vyberte důvod filtrování následujících grafů z tohoto důvodu.
    • Filtr vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět). Snímek obrazovky se spuštěním pravidel z jedinečného důvodu v sešitu stavu analýzy
  • Potom je seznam jedinečných analytických pravidel, která se spustila, s nejnovějšími výsledky a trendovými spojnicemi jejich úspěchu a neúspěchu (v závislosti na stavu vybraném pro filtrování seznamu).
    • Vyberte pravidlo pro přechod k podrobnostem a zobrazte novou tabulku se všemi spuštěními tohoto pravidla (ve vybraném časovém rámci).
    • Vymažte tuto tabulku výběrem ikony Vymazat výběr (vypadá jako ikona Zpět) v pravém horním rohu grafu. Snímek obrazovky se seznamem jedinečných pravidel spuštěných se stavem a spojnicemi trendu v sešitu stavu analýzy
  • Pokud v seznamu vyberete pravidlo, zobrazí se nová tabulka s podrobnostmi o stavu vybraného pravidla. Snímek obrazovky se seznamem spuštění vybraného analytického pravidla v sešitu stavu analýzy

Karta Audit

Karta Audit umožňuje přejít k podrobnostem o konkrétních událostech auditu.

Snímek obrazovky s výběrem karty audit v sešitu stavu analýzy

  • Vyfiltrujte data celé stránky podle typu pravidla auditu (naplánované nebo sloučené).
  • Podívejte se na trendy auditovaných aktivit na analytických pravidlech ve vybraném časovém období. Graf trendu můžete "vyčistit časem", abyste viděli podmnožinu původního časového rozsahu. Snímek obrazovky s populární aktivitou auditu v sešitu o stavu analýzy
  • Podívejte se na počet auditovaných událostí rozdělených podle aktivity a typu pravidla.
    • Vyberte aktivitu a vyfiltrujte pro tuto aktivitu následující grafy.
    • Filtr vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět). Snímek obrazovky s počty událostí auditu podle aktivity a typu v sešitu stavu analýzy
  • Podívejte se na počet auditovaných událostí podle názvu pravidla.
    • Výběrem názvu pravidla vyfiltrujte následující tabulku pro toto pravidlo a pro přechod k podrobnostem a zobrazení nové tabulky se všemi aktivitami na tomto pravidlu (ve vybraném časovém rámci). (Viz následující snímek obrazovky.)
    • Filtr vymažte tak, že v pravém horním rohu grafu vyberete ikonu Vymazat výběr (vypadá jako ikona Zpět). Snímek obrazovky s auditovanými událostmi podle názvu pravidla a volajícího v sešitu stavu analýzy
  • Podívejte se na počet auditovaných událostí volajícího (identita, která aktivitu provedla).
  • Pokud jste v předchozím grafu vybrali název pravidla, zobrazí se jiná tabulka s auditovanými aktivitami s tímto pravidlem. Výběrem hodnoty, která se zobrazí jako odkaz ve sloupci Rozšířené vlastnosti, otevřete boční panel zobrazující změny provedené v pravidle. Snímek obrazovky s aktivitou auditu pro vybrané pravidlo v sešitu stavu analýzy

Další kroky

  • Last updated on