Überwachen der Integrität Ihrer Datenconnectors

Um eine vollständige und unterbrechungsfreie Datenerfassung in Ihrem Microsoft Sentinel-Dienst zu gewährleisten, sollten Sie Integrität, Konnektivität und Leistung Ihrer Datenconnectors im Auge behalten.

Mit den folgenden Features können Sie diese Überwachung in Microsoft Sentinel bewerkstelligen:

• Arbeitsmappe zur Überwachung der Datensammlungsintegrität: Diese Arbeitsmappe bietet zusätzliche Monitore, erkennt Anomalien und gibt Aufschluss über den Datenerfassungsstatus des Arbeitsbereichs. Sie können die Logik der Arbeitsmappe verwenden, um die allgemeine Integrität der erfassten Daten zu überwachen und benutzerdefinierte Ansichten und regelbasierte Warnungen zu erstellen.

• SentinelHealth-Datentabelle (Vorschau): Durch Abfragen dieser Tabelle erhalten Sie Einblicke in Gesundheitsabweichungen, wie z. B. die neuesten Fehlerereignisse pro Anschluss oder Anschlüsse mit Änderungen von Erfolgs- zu Fehlerzuständen, die Sie zur Erstellung von Warnungen und anderen automatisierten Aktionen verwenden können. Die SentinelHealth-Datentabelle wird derzeit nur für ausgewählte Datenkonnektoren unterstützt.

  Wichtig

  Die SentinelHealth-Datentabelle befindet sich derzeit in Vorschau. Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

• Sehen Sie sich den Zustand und den Status Ihrer verbundenen SAP-Systeme an: Überprüfen Sie die Gesundheitsinformationen für Ihre SAP-Systeme unter dem SAP-Datenkonnektor und verwenden Sie eine Vorlage für Alarmregeln, um Informationen zur Gesundheit der Datenverarbeitung des SAP-Agents zu erhalten.

Verwenden der Arbeitsmappe zur Überwachung der Integrität

Um anzufangen, installieren Sie die Arbeitsmappe für die Integritätsüberwachung der Datensammlung aus dem Inhaltshub und sehen Sie eine Kopie der Vorlage im Abschnitt "Arbeitsmappen" von Microsoft Sentinel an oder erstellen Sie eine.

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Inhaltsverwaltung" den Inhaltshub aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel, dann > und schließlich Inhaltshub aus.

2. Geben Sie im InhaltshubGesundheit in der Suchleiste ein, und wählen Sie Gesundheitsüberwachung der Datensammlung aus den Ergebnissen aus.

3. Wählen Sie im Detailbereich "Installieren" aus. Wenn Sie eine Benachrichtigung erhalten, dass die Arbeitsmappe installiert ist, oder wenn anstelle von InstallierenKonfiguration angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

4. Wählen Sie in Microsoft Sentinel unter "Bedrohungsverwaltung" die Option "Arbeitsmappen" aus.

5. Wählen Sie auf der Seite "Arbeitsmappen" die Registerkarte "Vorlagen" aus, geben Sie Gesundheit in der Suchleiste ein, und wählen Sie "Gesundheitsüberwachung der Datenerfassung" aus den Ergebnissen aus.

6. Wählen Sie "Ansichtsvorlage" aus, um die Arbeitsmappe wie vorhanden zu verwenden, oder wählen Sie "Speichern" aus, um eine bearbeitbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wird, wählen Sie "Gespeicherte Arbeitsmappe anzeigen" aus.

7. Wählen Sie einmal in der Arbeitsmappe das Abonnement und den Arbeitsbereich aus, das Sie anzeigen möchten, und definieren Sie dann timeRange , um die Daten nach Ihren Anforderungen zu filtern. Verwenden Sie den Schalter "Hilfe anzeigen", um eine direkte Erläuterung der Arbeitsmappe anzuzeigen.

   

Diese Arbeitsmappe enthält drei Registerkartenabschnitte:

• Auf der Registerkarte "Übersicht" wird der allgemeine Status der Datenübernahme im ausgewählten Arbeitsbereich angezeigt: Volumenmessungen, EPS-Raten und Zeitpunkt des letzten Logempfangs.

• Auf der Registerkarte "Anomalien der Datensammlung " können Sie Anomalien im Datensammlungsprozess nach Tabelle und Datenquelle erkennen. Jede Registerkarte stellt Anomalien für eine bestimmte Tabelle dar (die Registerkarte " Allgemein " enthält eine Sammlung von Tabellen). Die Anomalien werden mithilfe der funktion series_decompose_anomalies() berechnet, die eine Anomaliebewertung zurückgibt. Weitere Informationen zu dieser Funktion. Legen Sie die folgenden Parameter für die auszuwertende Funktion fest:

  • AnomaliesTimeRange: Diese Zeitauswahl gilt nur für die Ansicht mit den Anomalien der Datensammlung.

  • SampleInterval: Das Zeitintervall, in dem Daten im angegebenen Zeitraum stichprobeniert werden. Die Anomaliebewertung wird nur anhand der Daten des letzten Intervalls berechnet.

  • PositiveAlertThreshold: Dieser Wert definiert den Positiven Anomaliebewertungsschwellenwert. Akzeptiert werden Dezimalwerte.

  • NegativeAlertThreshold: Dieser Wert definiert den Negativen Anomaliebewertungsschwellenwert. Akzeptiert werden Dezimalwerte.

    

• Auf der Registerkarte " Agent-Informationen " werden Informationen zum Status der auf Ihren verschiedenen Computern installierten Agents angezeigt, unabhängig davon, ob Azure-VM, andere Cloud-VM, lokale VM oder physische. Überwachen Sie den Systemspeicherort, den Heartbeat-Status und die Latenz, verfügbaren Arbeitsspeicher und Speicherplatz auf dem Datenträger sowie Agent-Vorgänge.

  In diesem Abschnitt müssen Sie die Registerkarte auswählen, die die Umgebung Ihrer Computer beschreibt: Wählen Sie die Registerkarte " Azure-verwaltete Computer " aus, wenn Sie nur die von Azure Arc verwalteten Computer anzeigen möchten. wählen Sie die Registerkarte "Alle Computer " aus, um verwaltete und Nicht-Azure-Computer anzuzeigen, auf dem der Azure Monitor-Agent installiert ist.

  

Verwenden der SentinelHealth-Datentabelle (Public Preview)

Um Datenconnector-Integritätsdaten aus der SentinelHealth-Datentabelle abzurufen, müssen Sie zunächst das Microsoft Sentinel-Integritätsfeature für Ihren Arbeitsbereich aktivieren. Informationen hierzu finden Sie unter Aktivieren der Gesundheitsüberwachung für Microsoft Sentinel.

Sobald die Gesundheitsfunktion aktiviert ist, wird die SentinelHealth-Datentabelle beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Datenkonnektoren generiert wird.

Unterstützte Datenconnectors

Die SentinelHealth-Datentabelle wird derzeit nur für die folgenden Datenconnectors unterstützt:

• Amazon Web Services (CloudTrail und S3)
• Dynamics 365
• Office 365
• Microsoft Defender für Endpunkte
• Bedrohungserkennung - TAXII
• Threat Intelligence-Plattformen
• Jeder Connector basierend auf Codeless Connector Framework

Grundlegendes zu SentinelHealth-Tabellenereignissen

Die folgenden Arten von Gesundheitsereignissen werden in der SentinelHealth-Tabelle protokolliert:

• Statusänderung des Datenabrufs. Wird einmal pro Stunde protokolliert, solange der Status eines Datenconnectors stabil bleibt, mit kontinuierlichen Erfolgs- oder Fehlerereignissen. Solange sich der Status eines Datenconnectors nicht ändert, reicht die nur stündliche Überwachung aus, um eine redundante Überwachung zu verhindern und die Tabellengröße zu reduzieren. Wenn der Status des Datenconnectors fortlaufende Fehler aufweist, werden zusätzliche Details zu den Fehlern in der Spalte ExtendedProperties angezeigt.

  Wenn sich der Status des Datenconnectors ändert, entweder von „Erfolg“ zu „Fehler“ oder von „Fehler“ zu „Erfolg“, oder wenn sich die Fehlerursachen ändern, wird das Ereignis sofort protokolliert, damit Ihr Team proaktive und sofortige Maßnahmen ergreifen kann.

  Potenziell vorübergehende Fehler, z. B. die Drosselung des Quelldiensts, werden erst protokolliert, nachdem sie mehr als 60 Minuten lang bestanden haben. Diese 60 Minuten gestatten es Microsoft Sentinel, ein vorübergehendes Problem im Back-End zu lösen und bei den Daten aufzuholen, ohne dass eine Benutzeraktion erforderlich ist. Fehler, die definitiv nicht vorübergehend sind, werden sofort protokolliert.

• Fehlerzusammenfassung. Wird einmal pro Stunde pro Connector und Arbeitsbereich mit einer aggregierten Fehlerzusammenfassung protokolliert. Fehlerzusammenfassungsereignisse werden nur erstellt, wenn bei dem Connector während der angegebenen Stunde Abruffehler aufgetreten sind. Sie enthalten alle zusätzlichen Details, die in der Spalte "ExtendedProperties " angegeben sind, z. B. den Zeitraum, für den die Quellplattform des Connectors abgefragt wurde, und eine eindeutige Liste von Fehlern, die während des Zeitraums aufgetreten sind.

Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.

Ausführen von Abfragen zum Erkennen von Integritätsabweichungen

Erstellen Sie Abfragen für die SentinelHealth-Tabelle, um Integritätsabweichungen in Ihren Datenconnectors zu erkennen. Beispiel:

Ermitteln der neuesten Fehlerereignisse pro Connector:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Erkennung von Verbindungen mit Änderungen vom Fehl- zu Erfolgsstatus:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Erkennen von Connectors mit Änderungen vom Zustand „Erfolg“ zu „Fehler“:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:

• let-Anweisung
• Whereoperator
• Projektbetreiber
• Zusammenfassungsoperator
• join-Operator
• ago() function
• arg_max() Aggregationsfunktion

Weitere Informationen zu KQL finden Sie unter Kusto Query Language (KQL)-Übersicht.

Weitere Ressourcen:

• KQL-Kurzübersicht
• Kusto Query Language Learning-Ressourcen

Konfigurieren von Warnungen und automatisierten Aktionen für Integritätsprobleme

Obwohl Sie die Microsoft Sentinel-Analyseregeln verwenden können, um die Automatisierung in Microsoft Sentinel-Protokollen zu konfigurieren, empfehlen wir Ihnen, Azure Monitor-Warnungsregeln zu verwenden, wenn Sie über Gesundheitsabweichungen in Ihren Datenconnectors benachrichtigt werden und sofortige Maßnahmen ergreifen möchten.

Beispiel:

1. Wählen Sie in einer Azure Monitor-Warnungsregel Ihren Microsoft Sentinel-Arbeitsbereich als Regelbereich und die benutzerdefinierte Protokollsuche als erste Bedingung aus.

2. Passen Sie die Warnungslogik nach Bedarf an, z. B. Häufigkeit oder Rückblickdauer, und nutzen Sie dann Abfragen, um nach Gesundheitsabweichungen zu suchen.

3. Wählen Sie für die Regelaktionen eine vorhandene Aktionsgruppe aus, oder erstellen Sie nach Bedarf eine neue Aktionsgruppe, um Pushbenachrichtigungen oder andere automatisierte Aktionen wie das Auslösen einer Logik-App, eines Webhooks oder einer Azure-Funktion in Ihrem System zu konfigurieren.

Weitere Informationen finden Sie in der Übersicht über Azure Monitor-Warnungen und im Azure Monitor-Warnungsprotokoll.

Nächste Schritte

• Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
• Aktivieren Sie die Überprüfung und Gesundheitsüberwachung in Microsoft Sentinel.
• Überwachen der Integrität der Automatisierungsregeln und Playbooks
• Überwachen Sie die Gesundheit und Integrität Ihrer Analyseregeln.
• Weitere Informationen zu den Tabellenschemas "SentinelHealth " und "SentinelAudit ".