Overvåg tilstanden, og overvåg integriteten af dine analyseregler

Hvis du vil sikre omfattende, uafbrudt og manipulationsfri trusselsregistrering i din Microsoft Sentinel tjeneste, skal du holde styr på dine analysereglers tilstand og integritet. Sørg for, at de fungerer optimalt ved at overvåge deres indsigt i udførelse, ved at forespørge på tilstands- og overvågningslogge og ved at bruge manuel kørsel igen for at teste og optimere dine regler.

Konfigurer meddelelser om tilstands- og overvågningshændelser for relevante interessenter, som derefter kan udføre handlinger. Du kan f.eks. definere og sende mails eller Microsoft Teams-meddelelser, oprette nye billetter i dit billetsystem osv.

I denne artikel beskrives det, hvordan du bruger Microsoft Sentinel overvågnings- og tilstandsovervågningsfunktioner til at holde styr på dine analysereglers tilstand og integritet inde fra Microsoft Sentinel.

Du kan finde oplysninger om regelindsigt og manuel kørsel af regler under Overvåg og optimer udførelsen af dine planlagte analyseregler.

Oversigt

  • Microsoft Sentinel tilstandslogge for analyseregel:

    • Denne log registrerer hændelser, der registrerer kørsel af analyseregler og slutresultatet af disse kørseler – hvis de lykkedes eller mislykkedes, og hvorfor de mislykkedes.
    • Logfilen registrerer også for hver kørsel af en analyseregel:
      • Hvor mange hændelser reglens forespørgsel hentede.
      • Angiver, om antallet af hændelser passerede den tærskel, der er defineret i reglen, hvilket får reglen til at udløse en besked.

    Disse logge indsamles i tabellen SentinelHealth i Log Analytics.

  • Microsoft Sentinel overvågningslogge for analysereglen:

    • Denne log registrerer hændelser, der registrerer ændringer af en hvilken som helst analyseregel, herunder følgende oplysninger:
      • Navnet på den regel, der blev ændret.
      • Hvilke egenskaber for reglen blev ændret.
      • Tilstanden for regelindstillingerne før og efter ændringen.
      • Den bruger eller identitet, der har foretaget ændringen.
      • Kildens IP-adresse og dato/klokkeslæt for ændringen.
      • ... og meget mere.

    Disse logge indsamles i tabellen SentinelAudit i Log Analytics.

Brug datatabellerne SentinelHealth og SentinelAudit

Hvis du vil hente overvågnings- og tilstandsdata fra de tabeller, der er beskrevet tidligere, skal du først aktivere funktionen Microsoft Sentinel tilstand for dit arbejdsområde. Du kan få flere oplysninger under Slå overvågning og tilstandsovervågning til for Microsoft Sentinel.

Når tilstandsfunktionen er slået til, oprettes datatabellen SentinelHealth ved den første succes- eller fejlhændelse, der genereres for dine automatiseringsregler og -playbooks.

Om tabelhændelser for SentinelHealth og SentinelAudit

Tabellen SentinelHealth logfører følgende typer tilstandshændelser for analyseregel:

  • Kørsel af planlagt analyseregel.
  • Kørsel af NRT-analyseregel.

Du kan få flere oplysninger under Tabelkolonneskema for SentinelHealth.

Tabellen SentinelAudit logfører følgende typer overvågningshændelser for analysereglen:

  • Opret eller opdater analyseregel.
  • Analysereglen er slettet.

Du kan få flere oplysninger under Tabelkolonneskema for SentinelAudit.

Kør forespørgsler for at registrere problemer med tilstand og integritet

Du opnår de bedste resultater ved at oprette dine forespørgsler på de færdigbyggede funktioner for disse tabeller , _SentinelHealth() og _SentinelAudit(), i stedet for at forespørge tabellerne direkte. Disse funktioner bevarer dine forespørgslers bagudkompatibilitet, hvis der foretages ændringer i skemaet for tabellerne.

Som det første trin skal du filtrere tabellerne efter data, der er relateret til analyseregler. Brug parameteren SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Hvis du vil, kan du filtrere listen yderligere for en bestemt type analyseregel. Brug parameteren SentinelResourceKind til dette.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Her er nogle eksempelforespørgsler, der kan hjælpe dig med at komme i gang:

  • Find regler, der er "autodisabled":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Tæl de regler og kørseler, der lykkedes eller mislykkedes af en årsag:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Find aktivitet for sletning af regel:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Find aktivitet for regler efter regelnavn og aktivitetsnavn:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Find aktivitet efter regler efter opkaldsnavn (den identitet, der udførte aktiviteten):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

Andre ressourcer:

Planlagte regler

Når en tidsplanregel mislykkes, prøves den igen fem gange mere i nøjagtigt det samme vindue. Reglen springer ikke vinduet over og går glip af en besked, så længe et af de seks forsøg lykkes.

Fejl i et af de seks forsøg angiver en forsinkelse i udløseren af beskeden. Den nøjagtige forsinkelse beregnes i følgende forespørgsel:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Hvis du vil søge efter fuldførte fejl (dvs. et vindue, der blev sprunget over), skal du bruge følgende forespørgsel:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Denne forespørgsel søger efter planlagte analyseregelkørsler, hvor ingen af de seks forsøg lykkedes. Du kan identificere et nyt forsøg ved at se på starttidspunktet for reglens vindue, da forsøgene altid ser på det oprindelige starttidspunkt. Denne forespørgsel giver dig mængden af oversprungne vinduer for hver analyseregel. Vi forventer, at de vinduer, der springes over, er sjældne. Hvis du kan se, at du har analyseregler med sprunget over vinduer, kan du bruge forespørgslerne til at forstå fejlårsagen for disse specifikke regler og tabellen over fejlårsager og afhjælpninger for at løse dem.

NRT-regler

Forsøgsmekanismen for NRT-regler fungerer anderledes end planlagte regler. Hvis en regel ikke kan køres, tager systemet også det mislykkede vindue i næste kørsel i betragtning (et minut senere). Denne funktionsmåde fortsætter i op til 60 fejl (en time).

Da en fejl i en bestemt kørsel kun afspejler en forsinkelse på ét minut, skal du ikke se på enkelte fejl. Brug i stedet følgende forespørgsel til at overvåge forsinkelsen af hver analyseregel:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Du kan også definere en analyseregel for at udløse beskeder ved betydelige forsinkelser (f.eks. hvis en NRT-regel har en forsinkelse på mere end 10 minutter).

Statusser, fejl og foreslåede trin

I forbindelse med kørsel af en planlagt analyseregel eller kørsel af NRT-analyseregel kan du få vist en af følgende statusser og beskrivelser:

  • Udført: Reglen blev udført og genererer <n> beskeder.

  • Udført: Reglen blev udført, men nåede ikke den grænse (<n>), der kræves for at generere en besked.

  • Fejl: Disse beskrivelser forklarer regelfejl, og hvad du kan gøre ved dem.

    Beskrivelse Oprydning
    Der opstod en intern serverfejl under kørsel af forespørgslen.
    Udførelsen af forespørgslen blev afbrudt pga. timeout.
    En tabel, der refereres til i forespørgslen, blev ikke fundet. Kontrollér, at der er forbindelse til den relevante datakilde.
    Der opstod en semantisk fejl under kørsel af forespørgslen. Prøv at nulstille analysereglen ved at redigere og gemme den (uden at ændre nogen indstillinger).
    En funktion, der kaldes af forespørgslen, er navngivet med et reserveret ord. Fjern eller omdøb funktionen.
    Der opstod en syntaksfejl under kørsel af forespørgslen. Prøv at nulstille analysereglen ved at redigere og gemme den (uden at ændre nogen indstillinger).
    Arbejdsområdet findes ikke.
    Denne forespørgsel bruger for mange systemressourcer og blev forhindret i at køre. Gennemse og juster analysereglen. Se vores oversigt over kusto-forespørgselssprog og bedste praksis .
    En funktion, der kaldes af forespørgslen, blev ikke fundet. Kontrollér, at alle funktioner, der kaldes af forespørgslen, findes i dit arbejdsområde.
    Det arbejdsområde, der blev brugt i forespørgslen, blev ikke fundet. Kontrollér, at alle arbejdsområder i forespørgslen findes.
    Du har ikke tilladelse til at køre denne forespørgsel. Prøv at nulstille analysereglen ved at redigere og gemme den (uden at ændre nogen indstillinger).
    Du har ikke adgangstilladelser til en eller flere af ressourcerne i forespørgslen.
    Forespørgslen refererede til en lagersti, der ikke blev fundet.
    Forespørgslen blev nægtet adgang til en lagersti.
    Der er defineret flere funktioner med samme navn i dette arbejdsområde. Fjern eller omdøb den redundante funktion, og nulstil reglen ved at redigere og gemme den.
    Denne forespørgsel returnerede ikke noget resultat.
    Flere resultatsæt i denne forespørgsel er ikke tilladt.
    Forespørgselsresultater indeholder uoverensstemmende antal felter pr. række.
    Reglen kører blev forsinket på grund af lange dataindtagelsestider.
    Reglen kører blev forsinket på grund af midlertidige problemer.
    Beskeden blev ikke beriget på grund af midlertidige problemer.
    Beskeden blev ikke forbedret på grund af problemer med objekttilknytning.
    < Antallet> enheder blev droppet i beskednavnet>< på grund af grænsen på 32 KB for beskedstørrelsen.
    < Antallet> objekter blev droppet i beskednavnet>< på grund af problemer med objekttilknytning.
    Forespørgslen resulterede i <antal> hændelser, som overskrider det maksimale antal tilladte grænseresultater> for regler for <regeltyper> med konfiguration af < hændelsesgruppering pr. række. Der blev oprettet en besked pr. række for første < grænse-1-hændelser>, og der blev genereret en ekstra samlet besked for at tage højde for alle hændelser.
    - <number> = antallet af hændelser, der returneres af forespørgslen
    - <limit> = aktuelt 150 beskeder for planlagte regler, 30 for NRT-regler
    - <regeltype> = Planlagt eller NRT

Brug overvågnings- og tilstandsovervågningsprojektmappen

  1. Hvis du vil gøre projektmappen tilgængelig i dit arbejdsområde, skal du installere projektmappeløsningen fra Microsoft Sentinel indholdshub:

    1. På Microsoft Sentinel portal skal du vælge Indholdshub (prøveversion) i menuen Indholdsstyring.

    2. I indholdshubben skal du angive tilstand på søgelinjen og vælge Analysetilstand & Overvågning blandt projektmappeløsningerne under Separat i resultaterne.

      Skærmbillede af valg af projektmappe til analysetilstand fra indholdshubben.

    3. Vælg Installér i detaljeruden, og vælg derefter Gem , der vises i stedet for.

  2. Når løsningen angiver, at den er installeret, skal du vælge Projektmapper i menuen Trusselsadministration .

    Skærmbillede af indikation af, at løsningen til en analysetilstandsprojektmappe er installeret fra indholdshubben.

  3. I galleriet Projektmapper skal du vælge fanen Skabeloner , angive tilstanden på søgelinjen og vælge Analysetilstand & Overvågning blandt resultaterne.

    Skærmbillede af valg af projektmappe til analysetilstand fra skabelongalleriet.

  4. Vælg Gem i detaljeruden for at oprette en redigerbar og brugbar kopi af projektmappen. Når kopien er oprettet, skal du vælge Vis gemt projektmappe.

  5. Når du er i projektmappen, skal du først vælge det abonnement og arbejdsområde , du vil have vist (de er muligvis allerede valgt), og derefter definere TimeRange for at filtrere dataene efter dine behov. Brug til/fra-knappen Vis Hjælp til at få vist forklaringen på projektmappen på stedet.

    Skærmbillede af oversigtsfanen analyseregeltilstand for projektmapper.

Denne projektmappe har tre faneinddelte sektioner:

Fanen Oversigt

Fanen Oversigt viser tilstands- og overvågningsoversigter:

  • Tilstandsoversigter over status for kørsler af analysereglen i det valgte arbejdsområde: antal kørsler, vellykkede og mislykkede kørsler og oplysninger om fejlhændelser.
  • Overvågningsoversigter over aktiviteter i forbindelse med analyseregler i det valgte arbejdsområde: antal aktiviteter over tid, antal aktiviteter efter type og antal aktiviteter af forskellige typer efter regel.

Fanen Tilstand

Under fanen Tilstand kan du udforske bestemte tilstandshændelser.

Skærmbillede af valg af tilstandsfane i projektmappen med analysetilstand.

  • Filtrer hele sidedataene efter status (udført eller mislykket) og regeltype (planlagt eller NRT).
  • Se tendenserne for vellykkede og mislykkede kørsler af regler (afhængigt af statusfilteret) i den valgte tidsperiode. Du kan "tidsbørste" tendensgrafen for at se et undersæt af det oprindelige tidsinterval. Skærmbillede af kørsel af analyseregel over tid i projektmappen med analysetilstand.
  • Filtrer resten af siden efter årsag.
  • Se det samlede antal kørsler for alle analyseregler, der vises proportionalt efter status i et cirkeldiagram.
  • Derefter er der en tabel, der viser antallet af entydige analyseregler, der er kørt, opdelt efter regeltype og status.
    • Vælg en status for at filtrere de resterende diagrammer for den pågældende status.
    • Ryd filteret ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af antallet af regler, der kører efter status og type i projektmappen med analysetilstand.
  • Se hver status med antallet af mulige årsager til den pågældende status. (Kun de årsager, der vises i kørslerne i den valgte tidsramme, vises.
    • Vælg en status for at filtrere de resterende diagrammer for den pågældende status.
    • Ryd filteret ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af antallet af entydige årsager efter status i projektmappen med analysetilstand.
  • Derefter skal du se en liste over disse årsager, hvor antallet af samlede regelkørsler er kombineret, og antallet af entydige regler, der blev kørt.
    • Vælg en årsag til at filtrere følgende diagrammer af denne årsag.
    • Ryd filteret ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af regelkørsler efter entydig årsag i projektmappen med analysetilstand.
  • Derefter er der en liste over de entydige analyseregler, der er kørt, med de seneste resultater og tendenslinjer for deres succes og fejl (afhængigt af den status, der er valgt for at filtrere listen).
    • Vælg en regel for at foretage detailudledning og få vist en ny tabel med alle kørseler af reglen (i den valgte tidsramme).
    • Ryd tabellen ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af en liste over kørsel af entydige regler med status- og tendenslinjer i projektmappen med analysetilstand.
  • Hvis du vælger en regel på listen, vises der en ny tabel med tilstandsoplysningerne for den valgte regel. Skærmbillede af liste over kørsler af den valgte analyseregel i projektmappen med analysetilstand.

Fanen Overvågning

Under fanen Overvågning kan du analysere ned til bestemte overvågningshændelser.

Skærmbillede af valg af overvågningsfane i projektmappen med analysetilstand.

  • Filtrer hele sidedataene efter overvågningsregeltype (planlagt/Fusion).
  • Se tendenser for overvåget aktivitet i analyseregler for den valgte tidsperiode. Du kan "tidsbørste" tendensgrafen for at se et undersæt af det oprindelige tidsinterval. Skærmbillede af tendensrevisionsaktivitet i projektmappen analysetilstand.
  • Se antallet af overvågede hændelser opdelt efter aktivitet og regeltype.
    • Vælg en aktivitet for at filtrere følgende diagrammer for den pågældende aktivitet.
    • Ryd filteret ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af antallet af overvågningshændelser efter aktivitet og type i projektmappen med analysetilstand.
  • Se antallet af overvågede hændelser efter regelnavn.
    • Vælg et regelnavn for at filtrere følgende tabel for den pågældende regel og for at foretage detailudledning og få vist en ny tabel med al aktiviteten for den pågældende regel (i den valgte tidsramme). (Se efter følgende skærmbillede).
    • Ryd filteret ved at vælge ikonet "Ryd markering" (det ligner ikonet "Fortryd" i øverste højre hjørne af diagrammet. Skærmbillede af overvågede hændelser efter regelnavn og kalder i projektmappen analysetilstand.
  • Se antallet af overvågede hændelser efter opkalder (den identitet, der udførte aktiviteten).
  • Hvis du har valgt et regelnavn i det foregående diagram, vises en anden tabel, der viser de overvågede aktiviteter for den pågældende regel. Vælg den værdi, der vises som et link i kolonnen ExtendedProperties for at åbne et sidepanel, der viser de ændringer, der er foretaget af reglen. Skærmbillede af overvågningsaktivitet for den valgte regel i projektmappen analysetilstand.

Næste trin

  • Last updated on