Monitorer l’intégrité de vos règles d’automatisation et playbooks

  • Article

Pour garantir le bon fonctionnement et les performances de vos opérations d’orchestration de la sécurité, d’automatisation et de réponse dans votre service Microsoft Sentinel, suivez l’intégrité de vos règles d’automatisation et de vos playbooks en monitorant leurs journaux d’exécution.

Configurez des notifications d’événements d’intégrité pour les parties prenantes concernées, qui peuvent ensuite prendre des mesures. Par exemple, définissez et envoyez des e-mails ou des messages Microsoft Teams, créez des tickets dans votre système de gestion de tickets, etc.

Cet article décrit comment utiliser les fonctionnalités de monitoring de l’intégrité de Microsoft Sentinel pour surveiller l’intégrité de vos règles d’automatisation et playbooks à partir de Microsoft Sentinel.

Résumé

  • Journaux de l’intégrité de l’automatisation dans Microsoft Sentinel :

    • Ce journal capture les événements qui enregistrent l’exécution des règles d’automatisation et l’issue de ces exécutions : réussite/échec et raison de l’échec éventuel. Le journal enregistre la réussite ou l’échec collectif du lancement des actions dans la règle, et liste également les playbooks appelés par la règle.
    • Le journal capture également les événements qui enregistrent le déclenchement à la demande (manuel ou par API) des playbooks, notamment les identités qui les ont déclenchés, leur issue (réussite/échec) et la raison de l’échec éventuel.
    • Ce journal n’inclut pas d’enregistrement de l’exécution du contenu d’un playbook, mais uniquement de la réussite ou de l’échec du lancement du playbook. Pour obtenir un journal des actions effectuées dans un playbook, consultez la liste suivante ci-dessous.
    • Ces journaux sont collectés dans la table SentinelHealth de Log Analytics.

    Important

    La table de données SentinelHealth est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

  • Journaux de diagnostic Azure Logic Apps :

    • Ces journaux capturent les résultats de l’exécution des playbooks (également appelés workflows Logic Apps) et des actions qu’ils contiennent.
    • Ces journaux vous fournissent une image complète de l’intégrité de votre automatisation quand ils sont utilisés conjointement avec les journaux d’intégrité de l’automatisation.
    • Ces journaux sont collectés dans la table AzureDiagnostics dans Log Analytics.

Utilisez la table de données SentinelHealth (préversion publique)

Pour obtenir les données d’intégrité de l’automatisation à partir de la table de données SentinelHealth, vous devez d’abord activer la fonctionnalité d’intégrité Microsoft Sentinel pour votre espace de travail. Pour plus d’informations, consultez Activer la surveillance de l’intégrité pour Microsoft Sentinel.

Une fois la fonctionnalité d’intégrité activée, la table de données SentinelHealth est créée lors du premier événement de réussite ou d’échec généré pour vos règles d’automatisation et playbooks.

Fonctionnement des événements de table SentinelHealth

Les types d’événements d’intégrité de l’automatisation suivants sont enregistrés dans la table SentinelHealth :

  • Exécution de la règle d’automatisation. Journalisé chaque fois que les conditions d’une règle d’automatisation sont remplies, entraînant son exécution. Outre les champs de la table SentinelHealth de base, ces événements incluent des propriétés étendues propres à l’exécution de règles d’automatisation, notamment la liste des playbooks appelés par la règle. L’exemple de requête suivant affiche ces événements :

    SentinelHealth
| where OperationName == "Automation rule run"

  • Le playbook a été déclenché. Journalisé chaque fois qu’un playbook est déclenché manuellement sur un incident à partir du portail ou par le biais de l’API. Outre les champs de la table SentinelHealth de base, ces événements incluent des propriétés étendues propres au déclenchement manuel des playbooks. L’exemple de requête suivant affiche ces événements :

    SentinelHealth
| where OperationName == "Playbook was triggered"

Pour plus d’informations, consultez Schéma des colonnes de la table SentinelHealth.

États, erreurs et étapes suggérées

Pour Exécution de la règle d’automatisation, vous pouvez voir les états suivants :

  • Réussite : règle exécutée avec succès, déclenchant toutes les actions.
  • Réussite partielle : la règle a été exécutée et a déclenché au moins une action, mais certaines actions ont échoué.
  • Échec : la règle d’automatisation n’a pas exécuté d’action pour l’une des raisons suivantes :
    • Échec de l’évaluation des conditions.
    • Conditions remplies, mais la première action a échoué.

Pour Le playbook a été déclenché, vous pouvez voir les états suivants :

  • Réussite : le playbook a été déclenché avec succès.
  • Échec : le playbook n’a pas pu être déclenché.

    Remarque

    « Réussite » signifie uniquement que la règle d’automatisation a correctement déclenché un playbook. Cet état ne vous indique pas quand le playbook a commencé ou s’est terminé, les résultats des actions du playbook ou l’issue de celui-ci. Pour trouver ces informations, interrogez les journaux de diagnostic Logic Apps (consultez les instructions plus loin dans cet article).

Descriptions des erreurs et actions suggérées

Description de l'erreur Actions suggérées
Impossible d’ajouter la tâche : <nom_tâche>.
L’incident/l’alerte est introuvable.		 Vérifiez que l’incident/l’alerte existe, puis réessayez.
Impossible de modifier la propriété : <nom_propriété>.
L’incident/l’alerte est introuvable.		 Vérifiez que l’incident/l’alerte existe, puis réessayez.
Impossible de modifier la propriété : <nom_propriété>.
Trop de demandes, dépassant les limites de limitation.
Impossible de déclencher le playbook : <nom_playbook>.
L’incident/l’alerte est introuvable.		 Si l’erreur s’est produite lors de la tentative de déclenchement d’un playbook à la demande, assurez-vous que l’incident/l’alerte existe et réessayez.
Impossible de déclencher le playbook : <nom_playbook>.
Soit le playbook n’a pas été trouvé, soit les autorisations n’étaient pas accordées à Microsoft Sentinel.		 Modifiez la règle d’automatisation, recherchez et sélectionnez le playbook dans son nouvel emplacement, puis enregistrez. Vérifiez que Microsoft Sentinel est autorisé à exécuter ce playbook.
Impossible de déclencher le playbook : <nom_playbook>.
Contient un type de déclencheur non pris en charge.		 Assurez-vous que votre playbook commence par le déclencheur Logic Apps approprié : Incident Microsoft Sentinel ou Alerte Microsoft Sentinel.
Impossible de déclencher le playbook : <nom_playbook>.
L’abonnement est désactivé et marqué comme en lecture seule. Les playbooks dans cet abonnement ne peuvent pas être exécutés tant que l’abonnement n’est pas réactivé.		 Réactivez l’abonnement Azure dans lequel se trouve le playbook.
Impossible de déclencher le playbook : <nom_playbook>.
Le playbook a été désactivé.		 Activez votre playbook, dans Microsoft Sentinel sous l’onglet Playbooks actifs sous Automatisation ou dans la page de ressources Logic Apps.
Impossible de déclencher le playbook : <nom_playbook>.
Définition de modèle de incorrect.		 Il existe une erreur dans la définition du playbook. Accédez au concepteur Logic Apps pour résoudre les problèmes et enregistrez le playbook.
Impossible de déclencher le playbook : <nom_playbook>.
La configuration du contrôle d’accès restreint Microsoft Sentinel.		 Les configurations Logic Apps permettent de restreindre l’accès à l’exécution du playbook. Cette restriction est appliquée pour ce playbook. Supprimez cette restriction afin que Microsoft Sentinel ne soit pas bloqué. En savoir plus
Impossible de déclencher le playbook : <nom_playbook>.
Les autorisations ne sont pas accordées à Microsoft Sentinel pour qu’il l’exécute.		 Microsoft Sentinel nécessite des autorisations pour exécuter les playbooks.
Impossible de déclencher le playbook : <nom_playbook>.
Playbook n’a pas été migré vers un nouveau modèle d’autorisations. Accordez des autorisations à Microsoft Sentinel pour exécuter ce playbook et réenregistrez la règle.		 Accordez à Microsoft Sentinel des autorisations pour exécuter ce playbook et réenregistrez la règle.
Impossible de déclencher le playbook : <nom_playbook>.
Trop de demandes, dépassant les limites de limitation du flux de travail.		 Le nombre d’exécutions de workflow en attente a dépassé la limite maximale autorisée. Essayez d’augmenter la valeur de 'maximumWaitingRuns' dans la configuration de la concurrence du déclencheur.
Impossible de déclencher le playbook : <nom_playbook>.
Trop de demandes, dépassant les limites de limitation.		 Découvrez-en plus sur les limites d’abonnement et de locataire.
Impossible de déclencher le playbook : <nom_playbook>.
L’accès était interdit. La configuration de l’identité managée est insuffisante ou une restriction réseau Logic Apps a été définie.		 Si le playbook utilise une identité managée, assurez-vous que l’identité managée a été affectée avec des autorisations. Le playbook peut avoir des règles de restriction réseau qui l’empêchent d’être déclenché car elles bloquent le service Microsoft Sentinel.
Impossible de déclencher le playbook : <nom_playbook>.
L’abonnement ou le groupe de ressources ont été verrouillé.		 Supprimez le verrou pour autoriser les playbooks de déclencheur Microsoft Sentinel dans l’étendue verrouillée. Découvrez-en plus sur les ressources verrouillées.
Impossible de déclencher le playbook : <nom_playbook>.
L’appelant n’a pas les autorisations de déclenchement de playbook requises sur le playbook ou Microsoft Sentinel n’a pas les autorisations nécessaires sur celui-ci.		 L’utilisateur qui tente de déclencher le playbook à la demande n’a pas le rôle Contributeur Logic Apps sur celui-ci. En savoir plus
Impossible de déclencher le playbook : <nom_playbook>.
Informations d’identification non valides dans la connexion.		 Vérifiez les informations d’identification que votre connexion utilise dans le service Connexions d’API dans le portail Azure.
Impossible de déclencher le playbook : <nom_playbook>.
L’ID ARM du playbook n’est pas valide.

Obtenir une image complète de l’automatisation

La table de monitoring de l’intégrité de Microsoft Sentinel vous permet de suivre le déclenchement des playbooks, mais pour surveiller ce qui se passe à l’intérieur de vos playbooks et leurs résultats lors de leur exécution, vous devez également activer les diagnostics dans Azure Logic Apps pour ingérer les événements suivants dans la table AzureDiagnostics :

  • {Nom de l’action} démarrée
  • {Nom de l’action} terminée
  • Workflow (playbook) démarré
  • Workflow (playbook) terminé

Ces événements ajoutés vous donnent des insights supplémentaires sur les actions effectuées dans vos playbooks.

Activer les diagnostics Azure Logic Apps

Pour chaque playbook que vous voulez surveiller, activez Log Analytics pour votre application logique. Veillez à sélectionner Envoyer à l’espace de travail Log Analytics comme destination de votre journal, puis choisissez votre espace de travail Microsoft Sentinel.

Mettre en corrélation les journaux Microsoft Sentinel et Azure Logic Apps

Maintenant que vous disposez de journaux pour vos règles d’automatisation et playbooks et de journaux pour vos workflows Logic Apps individuels dans votre espace de travail, vous pouvez les corréler afin d’obtenir une image complète. Considérons l'exemple de requête suivant :

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Utiliser le classeur d’analyse du fonctionnement

Le workbook Intégrité de l’automatisation vous aide à visualiser vos données d’intégrité ainsi que la corrélation entre les deux types de journaux que nous venons de mentionner. Le workbook comprend les affichages suivants :

  • Intégrité et détails des règles d’automatisation
  • Intégrité et détails des déclencheurs de playbook
  • Intégrité et détails des exécutions de playbook (nécessite que Diagnostic Azure soit activé au niveau du playbook)
  • Détails de l’automatisation par incident

Capture d’écran montrant le volet d’ouverture du workbook Intégrité de l’automatisation.

Sélectionnez l’onglet Playbooks exécutés par des règles d’automatisation pour afficher l’activité des playbooks.

Capture d’écran montrant la liste des playbooks appelés par les règles d’automatisation.

Sélectionnez un playbook pour afficher la liste de ses exécutions dans le graphique d’exploration ci-dessous.

Capture d’écran montrant la liste des exécutions du playbook choisi.

Sélectionnez une exécution particulière pour voir les résultats des actions du playbook.

Capture d’écran montrant les actions effectuées dans une exécution donnée de ce playbook.

Étapes suivantes