Überwachen der Integrität Ihrer Datenconnectors

  • Artikel

Um eine vollständige und unterbrechungsfreie Datenerfassung in Ihrem Microsoft Sentinel-Dienst zu gewährleisten, sollten Sie Integrität, Konnektivität und Leistung Ihrer Datenconnectors im Auge behalten.

Mit den folgenden Features können Sie diese Überwachung in Microsoft Sentinel bewerkstelligen:

  • Arbeitsmappe zur Integritätsüberwachung bei der Datensammlung: Diese Arbeitsmappe bietet zusätzliche Monitore, erkennt Anomalien und gibt Aufschluss über den Datenerfassungsstatus des Arbeitsbereichs. Sie können die Logik der Arbeitsmappe verwenden, um die allgemeine Integrität der erfassten Daten zu überwachen und benutzerdefinierte Ansichten und regelbasierte Warnungen zu erstellen.

  • Datentabelle SentinelHealth (Vorschau): Das Abfragen dieser Tabelle liefert Einblicke in Integritätsabweichungen, z. B. aktuelle Fehlerereignisse pro Connector oder Informationen zu Connectors, bei denen Änderungen vom Zustand „Erfolg“ in „Fehler“ aufgetreten sind, die Sie zum Erstellen von Warnungen und anderen automatisierten Aktionen verwenden können. Die SentinelHealth-Datentabelle wird derzeit nur für ausgewählte Datenconnectors unterstützt.

    Wichtig

    Die SentinelHealth-Datentabelle ist derzeit in VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

  • Anzeigen der Integrität und des Status Ihrer verbundenen SAP-Systeme: Überprüfen Sie die Integritätsinformationen für Ihre SAP-Systeme unter dem SAP-Datenconnector, und verwenden Sie eine Warnungsregelvorlage, um Informationen zur Integrität der Datensammlung des SAP-Agents abzurufen.

Verwenden der Arbeitsmappe zur Überwachung der Integrität

  1. Wählen Sie im Microsoft Sentinel-Portal im Menü Inhaltsverwaltung des Navigationsmenüs die Option Inhaltshub aus.

  2. Geben Sie im Inhaltshub auf der Suchleiste Integrität ein, und wählen Sie in den Ergebnissen Überwachung der Datenerfassungsintegrität aus.

  3. Wählen Sie im Detailbereich Installieren aus. Wenn eine Benachrichtigung angezeigt wird, dass die Arbeitsmappe installiert ist, oder wenn anstelle von Installieren die Option Konfiguration angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

  4. Wählen Sie im Navigationsmenü im Abschnitt Bedrohungsmanagement die Option Arbeitsmappen aus.

  5. Wählen Sie auf der Seite Arbeitsmappen die Registerkarte Vorlagen aus, geben Sie auf der Suchleiste Integrität ein, und wählen Sie in den Ergebnissen Überwachung der Datenerfassungsintegrität aus.

  6. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe unverändert zu verwenden, oder wählen Sie Speichern aus, um eine bearbeitbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wurde, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.

  7. Wählen Sie in der Arbeitsmappe zunächst das Abonnement und den Arbeitsbereich, den Sie anzeigen möchten, und definieren Sie dann den Zeitbereich, um die Daten gemäß Ihren Anforderungen zu filtern. Verwenden Sie die Umschaltfläche Hilfe anzeigen, um eine direkte Erläuterung der Arbeitsmappe anzuzeigen.

    data connector health monitoring workbook landing page

Diese Arbeitsmappe enthält drei Registerkartenabschnitte:

  • Auf der Registerkarte Übersicht wird der allgemeine Status der Datenerfassung im ausgewählten Arbeitsbereich angezeigt: Volumemeasures, EPS-Raten und die Zeit des letzten Protokollempfangs.

  • Mithilfe der Registerkarte Datensammlung: Anomalien können Sie Anomalien im Datensammlungsprozess nach Tabelle und Datenquelle erkennen. Auf den einzelnen Registerkarten werden Anomalien für eine bestimmte Tabelle angezeigt (die Registerkarte Allgemein enthält eine Sammlung von Tabellen). Die Anomalien werden mit der Funktion series_decompose_anomalies() berechnet, bei der eine Anomaliebewertung zurückgegeben wird. Lesen Sie die weiteren Informationen zu dieser Funktion. Legen Sie die folgenden Parameter für die auszuwertende Funktion fest:

    • AnomaliesTimeRange: Diese Zeitauswahl gilt nur für die Ansicht mit den Anomalien der Datensammlung.

    • SampleInterval: Das Zeitintervall, in dem für Daten im angegebenen Zeitbereich Stichproben genommen werden. Die Anomaliebewertung wird nur anhand der Daten des letzten Intervalls berechnet.

    • PositiveAlertThreshold: Mit diesem Wert wird der positive Schwellenwert für die Anomaliebewertung definiert. Akzeptiert werden Dezimalwerte.

    • NegativeAlertThreshold: Mit diesem Wert wird der negative Schwellenwert für die Anomaliebewertung definiert. Akzeptiert werden Dezimalwerte.

      data connector health monitoring workbook anomalies page

  • Auf der Registerkarte Informationen zum Agent werden Informationen zur Integrität der Log Analytics-Agents angezeigt, die auf Ihren verschiedenen Computern installiert sind. Dabei kann es sich um Azure-VMs, andere Cloud-VMs, lokale VMs oder physische Computer handeln. Folgendes kann überwacht werden:

    • Systemstandort

    • Heartbeatstatus und Latenz

    • Verfügbarer Arbeitsspeicher und Speicherplatz

    • Agentvorgänge

      In diesem Abschnitt müssen Sie die Registerkarte auswählen, die der Umgebung Ihrer Computer entspricht: Wählen Sie die Registerkarte Von Azure verwaltete Computer aus, wenn Sie nur die mit Azure Arc verwaltete Computer anzeigen möchten. Wählen Sie die Registerkarte Alle Computer aus, um sowohl verwaltete als auch Nicht-Azure-Computer mit installiertem Log Analytics-Agent anzuzeigen.

      data connector health monitoring workbook agent info page

Verwenden der SentinelHealth-Datentabelle (Public Preview)

Um Datenconnector-Integritätsdaten aus der SentinelHealth-Datentabelle abzurufen, müssen Sie zunächst das Microsoft Sentinel-Integritätsfeature für Ihren Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren der Integritätsüberwachung für Microsoft Sentinel.

Sobald das Integritätsfeature aktiviert ist, wird die SentinelHealth-Datentabelle beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Datenconnectors generiert wird.

Unterstützte Datenconnectors

Die SentinelHealth-Datentabelle wird derzeit nur für folgende Datenconnectors unterstützt:

Grundlegendes zu SentinelHealth-Tabellenereignissen

Die folgenden Typen von Integritätsereignissen werden in der SentinelHealth-Tabelle protokolliert:

  • Änderung des Datenabrufstatus. Wird einmal pro Stunde protokolliert, solange der Status eines Datenconnectors stabil bleibt, mit kontinuierlichen Erfolgs- oder Fehlerereignissen. Solange sich der Status eines Datenconnectors nicht ändert, reicht die nur stündliche Überwachung aus, um eine redundante Überwachung zu verhindern und die Tabellengröße zu reduzieren. Wenn der Status des Datenconnectors fortlaufende Fehler aufweist, werden zusätzliche Details zu den Fehlern in der Spalte ExtendedProperties angezeigt.

    Wenn sich der Status des Datenconnectors ändert, entweder von „Erfolg“ zu „Fehler“ oder von „Fehler“ zu „Erfolg“, oder wenn sich die Fehlerursachen ändern, wird das Ereignis sofort protokolliert, damit Ihr Team proaktive und sofortige Maßnahmen ergreifen kann.

    Potenziell vorübergehende Fehler, z. B. die Drosselung des Quelldiensts, werden erst protokolliert, nachdem sie mehr als 60 Minuten lang bestanden haben. Diese 60 Minuten gestatten es Microsoft Sentinel, ein vorübergehendes Problem im Back-End zu lösen und bei den Daten aufzuholen, ohne dass eine Benutzeraktion erforderlich ist. Fehler, die definitiv nicht vorübergehend sind, werden sofort protokolliert.

  • Fehlerzusammenfassung. Wird einmal pro Stunde pro Connector und Arbeitsbereich mit einer aggregierten Fehlerzusammenfassung protokolliert. Fehlerzusammenfassungsereignisse werden nur erstellt, wenn bei dem Connector während der angegebenen Stunde Abruffehler aufgetreten sind. Sie enthalten alle zusätzlichen Details, die in der Spalte ExtendedProperties angegeben sind, z. B. den Zeitraum, für den die Quellplattform des Connectors abgefragt wurde, und eine eindeutige Liste von Fehlern, die während des Zeitraums aufgetreten sind.

Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.

Ausführen von Abfragen zum Erkennen von Integritätsabweichungen

Erstellen Sie Abfragen für die SentinelHealth-Tabelle, um Integritätsabweichungen in Ihren Datenconnectors zu erkennen. Beispiel:

Erkennen der neuesten Fehlerereignisse pro Connector:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Erkennen von Connectors mit Änderungen vom Zustand „Fehler“ zu „Erfolg“:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Erkennen von Connectors mit Änderungen vom Zustand „Erfolg“ zu „Fehler“:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Konfigurieren von Warnungen und automatisierten Aktionen für Integritätsprobleme

Sie können zwar die Analyseregeln von Microsoft Sentinel verwenden, um die Automatisierung in Microsoft Sentinel-Protokollen zu konfigurieren, aber wenn Sie benachrichtigt werden und sofortige Maßnahmen für Integritätsabweichungen in Ihren Datenconnectors ergreifen möchten, empfehlen wir Ihnen, Azure Monitor-Warnungsregeln zu verwenden.

Beispiel:

  1. Wählen Sie in einer Azure Monitor-Warnungsregel Ihren Microsoft Sentinel-Arbeitsbereich als Geltungsbereich der Regel und die benutzerdefinierte Protokollsuche als erste Bedingung aus.

  2. Passen Sie die Warnungslogik nach Bedarf an, z. B. Häufigkeit oder Rückblickdauer, und verwenden Sie dann Abfragen, um nach Integritätsabweichungen zu suchen.

  3. Wählen Sie für die Regelaktionen eine vorhandene Aktionsgruppe aus, oder erstellen Sie nach Bedarf eine neue Aktionsgruppe, um Pushbenachrichtigungen oder andere automatisierte Aktionen wie das Auslösen einer Logik-App, eines Webhooks oder einer Azure-Funktion in Ihrem System zu konfigurieren.

Weitere Informationen finden Sie unter Übersicht über Azure Monitor-Warnungen und Azure Monitor-Warnungsprotokoll.

Nächste Schritte