Überprüfung und Systemüberwachung in Microsoft Sentinel
Microsoft Sentinel ist ein wichtiger Dienst, um die Sicherheit der Technologie- und Informationsressourcen Ihrer Organisation zu fördern und zu schützen. Daher sollten Sie sicher sein, dass er immer reibungslos und störungsfrei funktioniert.
Sie möchten sicherstellen, dass die vielen beweglichen Teile des Diensts immer wie vorgesehen funktionieren und er nicht durch nicht autorisierte Aktionen manipuliert wird, sei es durch interne Benutzer*innen oder auf andere Weise. Sie können auch Benachrichtigungen über Integritätsabweichungen oder nicht autorisierte Aktionen konfigurieren, die an relevante Stakeholder gesendet werden, die antworten oder eine Antwort genehmigen können. So können Sie z. B. Bedingungen festlegen, die das Senden von E-Mail- oder Microsoft Teams-Nachrichten an Betriebsteams, Führungskräfte oder Operatoren bzw. das Eröffnen neuer Tickets in Ihrem Ticketsystem auslösen usw.
In diesem Artikel wird beschrieben, wie Sie mithilfe der Systemüberwachung und der Überwachungsfeatures von Microsoft Sentinel die Aktivität einiger wichtiger Ressourcen des Diensts überwachen und Protokolle von Benutzeraktionen innerhalb des Diensts überprüfen können.
Integrität und Überwachung der Datenspeicherung
Integritäts- und Überwachungsdaten werden in zwei Tabellen in Ihrem Log Analytics-Arbeitsbereich gesammelt: SentinelHealth und SentinelAudit
Überwachungsdaten werden in der Tabelle SentinelAudit erfasst.
Integritätsdaten werden in der SentinelHealth-Tabelle gesammelt, die Ereignisse erfasst, die jedes Mal aufzeichnen, wenn eine Automatisierungsregel ausgeführt wird, und die Endergebnisse dieser Ausführung. Die SentinelHealth-Tabelle enthält:
- Gibt an, ob Aktionen, die in der Regel gestartet wurden, erfolgreich oder fehlgeschlagen sind, und die von der Regel aufgerufenen Playbooks.
- Ereignisse, welche die On-Demand-Triggerung (manuell oder API-basiert) von Playbooks aufzeichnen, einschließlich der Identitäten, die sie ausgelöst haben, und die Endergebnisse dieser Ausführung
Die SentinelHealth-Tabelle enthält keinen Datensatz der Ausführung eines Playbook-Inhalts, sondern nur, ob das Playbook erfolgreich gestartet wurde. Ein Protokoll der in einem Playbook ausgeführten Aktionen, bei denen es sich um Logic Apps-Workflows handelt, werden in der AzureDiagnostics-Tabelle aufgeführt. Die AzureDiagnostics bietet Ihnen ein vollständiges Bild Ihrer Automatisierungsintegrität, wenn sie zusammen mit den SentinelHealth-Daten verwendet wird.
Diese Daten verwenden Sie meistens beim Abfragen dieser Tabellen. Um optimale Ergebnisse zu erzielen, erstellen Sie Ihre Abfragen basierend auf den vordefinierten Funktionen für die Tabellen _SentinelHealth() und _SentinelAudit(), anstatt die Tabellen direkt abzufragen. Diese Funktionen stellen die Aufrechterhaltung der Abwärtskompatibilität Ihrer Abfragen sicher, falls Änderungen am Schema der Tabellen selbst vorgenommen werden.
Wichtig
Die Datentabellen SentinelHealth und SentinelAudit befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Fragen zur Überprüfung des Dienststatus und der Überwachungsdaten
Verwenden Sie die folgenden Fragen, um Ihre Überwachung der Integritäts- und Überwachungsdaten von Microsoft Sentinel zu unterstützen:
Wird der Datenconnector ordnungsgemäß ausgeführt?
Empfängt der Datenconnector Daten? Wenn Sie beispielsweise Microsoft Sentinel angewiesen haben, alle 5 Minuten eine Abfrage auszuführen, sollten Sie überprüfen, ob diese Abfrage ausgeführt wird, wie ihre Leistung ist und ob es Sicherheitsrisiken im Zusammenhang mit der Abfrage gibt.
Wurde eine Automatisierungsregel wie erwartet ausgeführt?
Wurde die Automatisierungsregel zum gewünschten Zeitpunkt ausgeführt, d. h., wenn ihre Bedingungen erfüllt waren? Wurden alle Aktionen in der Automatisierungsregel erfolgreich ausgeführt?
Wurde eine Analyseregel wie erwartet ausgeführt?
Wurde Ihre Analyseregel zum gewünschten Zeitpunkt ausgeführt und hat sie Ergebnisse generiert? Wenn Sie erwarten, dass bestimmte Vorfälle in Ihrer Warteschlange angezeigt werden, dies aber nicht der Fall ist, möchten Sie wissen, ob die Regel ausgeführt wurde, aber nichts (oder nicht genügend) gefunden hat, oder überhaupt nicht ausgeführt wurde.
Wurden nicht autorisierte Änderungen an einer Analyseregel vorgenommen?
Wurde an der Regel etwas geändert? Sie haben nicht die Ergebnisse erhalten, die Sie von Ihrer Analyseregel erwartet haben, und Sie hatten keine Integritätsprobleme. Sie möchten ermitteln, ob ungeplante Änderungen an der Regel vorgenommen wurden, und wenn dies der Fall ist, welche Änderungen von wem, wo und wann vorgenommen wurden.
Integritäts- und Überwachungsablauf
Um mit der Erfassung von Integritäts- und Überprüfungsdaten zu beginnen, müssen Sie die Überprüfung und Systemüberwachung in den Microsoft Sentinel-Einstellungen aktivieren. Anschließend können Sie sich mit den Integritäts- und Überprüfungsdaten befassen, die Microsoft Sentinel erfasst:
Anwenden von Abfragen auf die Datentabellen SentinelHealth und SentinelAudit auf dem Microsoft Sentinel-Blatt Protokolle.
- Datenconnectors
- Automatisierungsregeln und Playbooks (Joinabfrage mit Azure Logic Apps-Diagnose)
- Analyseregeln
Verwenden Sie die Arbeitsmappen zur Überprüfung und Systemüberwachung von Microsoft Sentinel.
Verwenden Sie die Ausführungsverwaltungstools von Microsoft Sentinel, um die Ausführung geplanter Analyseregeln zu überwachen und zu optimieren.
Exportieren der Daten in verschiedene Ziele, z. B. Ihren Log Analytics-Arbeitsbereich, Archivieren in einem Speicherkonto und vieles mehr Erfahren Sie mehr über die für Ihre Protokolle unterstützten Ziele.
Nächste Schritte
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Automatisierungsregeln und Playbooks.
- Überwachen der Integrität der Datenconnectors.
- Überwachen der Integrität der Analyseregeln.
- Weitere Informationen finden Sie in den SentinelHealth- und SentinelAudit-Tabellenschemata.
Weitere Informationen:
- Verwenden der Microsoft Sentinel-Lösung für SAP? Überwachen Sie auch die Integrität.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für