Überwachen der Integrität Ihrer Automatisierungsregeln und Playbooks
Um die ordnungsgemäße Funktionalität und Leistung Ihrer Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsvorgänge in Ihrem Microsoft Sentinel-Dienst zu gewährleisten, behalten Sie die Integrität Ihrer Automatisierungsregeln und Playbooks im Auge, indem Sie deren Ausführungsprotokolle protokollieren.
Richten Sie Benachrichtigungen zu integritätsbezogenen Ereignissen für relevante Stakeholder ein, die anschließend Maßnahmen ergreifen können. Verfassen und senden Sie z. B. E-Mail- oder Microsoft Teams-Nachrichten, erstellen Sie neue Tickets in Ihrem Ticketingsystem usw.
In diesem Artikel wird beschrieben, wie Sie die Microsoft Sentinel-Features zur Systemüberwachung nutzen, um die Integrität Ihrer Automatisierungsregeln und Playbooks in Microsoft Sentinel im Blick zu behalten. Weitere Informationen finden Sie unter Überwachung und Systemüberwachung für Microsoft Sentinel.
Verwenden der SentinelHealth-Datentabelle (Public Preview)
Um Daten zur Integrität der Automatisierung aus der Datentabelle SentinelHealth abzurufen, müssen Sie zunächst für Ihren Arbeitsbereich das Microsoft Sentinel-Feature zur Systemüberwachung aktivieren. Weitere Informationen finden Sie unter Aktivieren der Integritätsüberwachung für Microsoft Sentinel.
Sobald das Feature zur Systemüberwachung aktiviert ist, wird die Datentabelle SentinelHealth beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Automatisierungsregeln und Playbooks generiert wird.
Grundlegendes zu SentinelHealth-Tabellenereignissen
Die folgenden Typen von Ereignissen im Zusammenhang mit der Integrität der Automatisierung werden in der Tabelle SentinelHealth protokolliert:
Automatisierungsregeln ausgeführt. Wird immer dann protokolliert, wenn die Bedingungen einer Automatisierungsregel erfüllt sind, sodass sie ausgeführt wird. Neben den Feldern in der grundlegenden Tabelle SentinelHealth enthalten diese Ereignisse erweiterte Eigenschaften, die nur für die Ausführung von Automatisierungsregeln gelten, einschließlich einer Liste der Playbooks, die von der Regel aufgerufen werden. Durch die folgende Beispielabfrage werden diese Ereignisse angezeigt:
SentinelHealth | where OperationName == "Automation rule run"Playbook wurde ausgelöst. Wird protokolliert, wenn ein Playbook für einen Incident manuell über das Portal oder die API ausgelöst wird. Neben den Feldern in der grundlegenden Tabelle SentinelHealth enthalten diese Ereignisse erweiterte Eigenschaften, die nur für das manuelle Auslösen von Playbooks gelten. Durch die folgende Beispielabfrage werden diese Ereignisse angezeigt:
SentinelHealth | where OperationName == "Playbook was triggered"
Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.
Status, Fehler und vorgeschlagene Schritte
Für den Status Automatisierungsregeln ausgeführt werden möglicherweise die folgenden Status angezeigt:
Erfolg: Die Regel wurde erfolgreich ausgeführt und löst alle Aktionen aus.
Teilerfolg: Die Regel hat mindestens eine Aktion ausgeführt und ausgelöst, bei einigen Aktionen ist jedoch ein Fehler aufgetreten.
Fehler: Die Automatisierungsregel hat aus einem der folgenden Gründe keine Aktion ausgeführt:
- Fehler bei der Auswertung der Bedingungen.
- Bedingungen erfüllt, aber bei der ersten Aktion ist ein Fehler aufgetreten.
Für den Status Playbook wurde ausgelöst werden möglicherweise die folgenden Status angezeigt:
Erfolg: Playbook erfolgreich ausgelöst.
Fehler: Playbook konnte nicht ausgelöst werden.
Hinweis
Erfolg bedeutet lediglich, dass die Automatisierungsregel erfolgreich ein Playbook ausgelöst hat. Sie erfahren nicht, wann das Playbook gestartet oder beendet wurde, welche Ergebnisse die Aktionen im Playbook hatten und wie das Endergebnis des Playbooks aussieht.
Um diese Informationen zu finden, fragen Sie die Logic Apps-Diagnoseprotokolle ab. Weitere Informationen finden Sie unter Abrufen des vollständigen Automatisierungsbilds.
Fehlerbeschreibungen und vorgeschlagene Aktionen
| Fehlerbeschreibung | Vorgeschlagene Aktionen |
|---|---|
| Aufgabe konnte nicht hinzugefügt werden: <TaskName>. Incident/Warnung nicht gefunden. |
Stellen Sie sicher, dass der Incident/die Warnung vorhanden ist, und versuchen Sie es erneut. |
| Eigenschaft konnte nicht geändert werden: <PropertyName>. Incident/Warnung nicht gefunden. |
Stellen Sie sicher, dass der Incident/die Warnung vorhanden ist, und versuchen Sie es erneut. |
| Eigenschaft konnte nicht geändert werden: <PropertyName>. Zu viele Anforderungen, die Drosselungsgrenzwerte werden überschritten. |
|
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Incident/Warnung nicht gefunden. |
Wenn der Fehler beim Versuch aufgetreten ist, ein Playbook bedarfsgesteuert auszulösen, stellen Sie sicher, dass der Incident/die Warnung vorhanden ist, und versuchen Sie es erneut. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Das Playbook wurde nicht gefunden, oder Microsoft Sentinel verfügt nicht über die erforderlichen Berechtigungen. |
Bearbeiten Sie die Automatisierungsregel, suchen und wählen Sie das Playbook an der neuen Stelle aus, und speichern Sie es. Stellen Sie sicher, dass Microsoft Sentinel über die Berechtigung zum Ausführen dieses Playbooks verfügt. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Enthält einen nicht unterstützten Triggertyp. |
Stellen Sie sicher, dass Ihr Playbook mit dem richtigen Logic Apps-Trigger beginnt: Microsoft Sentinel-Incident oder Microsoft Sentinel-Warnung. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Das Abonnement ist deaktiviert und als schreibgeschützt gekennzeichnet. Playbooks in diesem Abonnement können erst ausgeführt werden, nachdem das Abonnement reaktiviert wurde. |
Reaktivieren Sie das Azure-Abonnement, in dem sich das Playbook befindet. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Das Playbook wurde deaktiviert. |
Aktivieren Sie Ihr Playbook in Microsoft Sentinel auf der Registerkarte „Aktive Playbooks“ unter „Automatisierung“ oder auf der Ressourcenseite von Logic Apps. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Ungültige Vorlagendefinition. |
Es gibt einen Fehler in der Playbookdefinition. Wechseln Sie zum Logic Apps-Designer, um die Probleme zu beheben, und speichern Sie das Playbook. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Die Zugriffssteuerungskonfiguration schränkt Microsoft Sentinel ein. |
Logic Apps-Konfigurationen ermöglichen es, den Zugriff zum Auslösen des Playbooks einzuschränken. Diese Einschränkung gilt für das jeweilige Playbook. Heben Sie diese Einschränkung auf, damit Microsoft Sentinel nicht blockiert wird. Weitere Informationen |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Für Microsoft Sentinel fehlen Berechtigungen zum Ausführen. |
Microsoft Sentinel benötigt Berechtigungen zum Ausführen von Playbooks. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Das Playbook wurde nicht zum neuen Berechtigungsmodell migriert. Erteilen Sie Microsoft Sentinel Berechtigungen zum Ausführen dieses Playbooks, und speichern Sie die Regel erneut. |
Erteilen Sie Microsoft Sentinel Berechtigungen zum Ausführen dieses Playbooks, und speichern Sie die Regel erneut. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Zu viele Anforderungen, die Drosselungsgrenzwerte für den Workflow werden überschritten. |
Die Anzahl der wartenden Workflowausführungen hat den maximal zulässigen Grenzwert überschritten. Erhöhen Sie in der Konfiguration der Parallelität von Triggern den Wert von 'maximumWaitingRuns'. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Zu viele Anforderungen, die Drosselungsgrenzwerte werden überschritten. |
Erfahren Sie mehr über Grenzwerte für Abonnements und Mandanten. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Der Zugriff wurde verboten. Der verwalteten Identität fehlt eine Konfiguration, oder die Netzwerkeinschränkung für Logic Apps wurde festgelegt. |
Wenn das Playbook eine verwaltete Identität verwendet, stellen Sie sicher, dass der verwalteten Identität Berechtigungen zugewiesen wurden. Das Playbook weist möglicherweise Netzwerkeinschränkungsregeln auf, die verhindern, dass es ausgelöst wird, da sie den Microsoft Sentinel-Dienst blockieren. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Das Abonnement oder die Ressourcengruppe wurde gesperrt. |
Heben Sie die Sperre auf, um Microsoft Sentinel das Auslösen von Playbooks im gesperrten Bereich zu erlauben. Erfahren Sie mehr über gesperrte Ressourcen. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Dem Aufrufer fehlen die erforderlichen Berechtigungen für das Auslösen des Playbooks, oder Microsoft Sentinel hat keine Berechtigungen dafür. |
Dem Benutzer, der versucht, das Playbook bedarfsgesteuert auszulösen, fehlt die Rolle „Logic Apps-Mitwirkender“ im Playbook oder zum Auslösen des Playbooks. Weitere Informationen |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Ungültige Anmeldeinformationen in Verbindung. |
Überprüfen Sie im Azure-Portal unter API-Verbindungen die Anmeldeinformationen Ihrer Verbindung. |
| Playbook konnte nicht ausgelöst werden: <PlaybookName>. Die ARM-ID des Playbooks ist ungültig. |
Verschaffen eines vollständigen Überblicks über die Automatisierung
Mit der Systemüberwachungstabelle von Microsoft Sentinel können Sie das Auslösen von Playbooks nachverfolgen. Um jedoch zu überwachen, was in Ihren Playbooks passiert und welche Ergebnisse bei ihrer Ausführung generiert werden, müssen Sie auch die Diagnose in Azure Logic Apps aktivieren, um die folgenden Ereignisse in der Tabelle AzureDiagnostics zu erfassen:
- {Aktionsname} gestartet
- {Aktionsname} beendet
- Workflow (Playbook) gestartet
- Workflow (Playbook) beendet
Diese hinzugefügten Ereignisse verschaffen Ihnen zusätzliche Erkenntnisse über die Aktionen in Ihren Playbooks.
Aktivieren der Azure Logic Apps-Diagnose
Aktivieren Sie Log Analytics für Ihre Logik-App (für jedes zu überwachende Playbook). Wählen Sie als Ihr Protokollziel An Log Analytics-Arbeitsbereich senden und Ihren Microsoft Sentinel-Arbeitsbereich aus.
Korrelieren von Microsoft Sentinel- und Azure Logic Apps-Protokollen
Nachdem Sie Protokolle für Ihre Automatisierungsregeln und Playbooks und Protokolle für Ihre einzelnen Logic Apps-Workflows in Ihrem Arbeitsbereich aufgezeichnet haben, können Sie diese korrelieren, um sich ein vollständiges Bild zu verschaffen. Sehen Sie sich die folgende Beispielabfrage an:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
Verwenden der Arbeitsmappe zur Überwachung der Integrität
Mit der Arbeitsmappe Integrität der Automatisierung können Sie Ihre Integritätsdaten sowie die Korrelation zwischen den beiden zuvor erwähnten Protokolltypen visualisieren. Die Arbeitsmappe enthält die folgenden Informationen:
- Integrität und Details der Automatisierungsregel
- Integrität und Details des Playbooktriggers
- Integrität und Details von Playbookausführungen (erfordert Aktivierung der Azure-Diagnose auf Playbookebene)
- Automatisierungsdetails pro Incident
Zum Beispiel:
Wählen Sie die Registerkarte Von Automatisierungsregeln ausgeführte Playbooks aus, um die Playbookaktivität einzusehen.
Wählen Sie ein Playbook aus, um die Liste der zugehörigen Ausführungen im folgenden Drilldowndiagramm anzuzeigen.
Wählen Sie eine bestimmte Ausführung aus, um die Ergebnisse der Aktionen im Playbook anzuzeigen.
Nächste Schritte
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Datenconnectors.
- Überwachen der Integrität der Analyseregeln.
- Weitere Informationen finden Sie in den SentinelHealth- und SentinelAudit-Tabellenschemata.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für