Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Microsoft Sentinel es un servicio crítico para avanzar y proteger la seguridad de los recursos tecnológicos y de información de su organización, por lo que desea asegurarse de que siempre funciona sin interferencias y sin interferencias.
Quiere comprobar que las muchas partes móviles del servicio siempre funcionan según lo previsto y que no se está manipulando mediante acciones no autorizadas, ya sea por parte de usuarios internos o de otro modo. También puede configurar notificaciones de desfases de estado o acciones no autorizadas que se enviarán a las partes interesadas pertinentes que puedan responder o aprobar una respuesta. Por ejemplo, puede establecer condiciones para desencadenar el envío de correos electrónicos o mensajes de Microsoft Teams a equipos de operaciones, administradores o oficiales, iniciar nuevos vales en el sistema de vales, etc.
En este artículo se describe cómo las características de auditoría y supervisión de estado de Microsoft Sentinel permiten supervisar la actividad de algunos de los recursos clave del servicio e inspeccionar los registros de las acciones del usuario dentro del servicio.
Mantenimiento y auditoría del almacenamiento de datos
Los datos de mantenimiento y auditoría se recopilan en dos tablas del área de trabajo de Log Analytics: SentinelHealth y SentinelAudit
Los datos de auditoría se recopilan en la tabla SentinelAudit .
Los datos de mantenimiento se recopilan en la tabla SentinelHealth , que captura eventos que registran cada vez que se ejecuta una regla de automatización y los resultados finales de esas ejecuciones. La tabla SentinelHealth incluye:
- Si las acciones iniciadas en la regla se ejecutan correctamente o no, y los cuadernos de estrategias a los que llama la regla.
- Eventos que registran el desencadenamiento a petición (manual o basado en API) de los cuadernos de estrategias, incluidas las identidades que los desencadenaron, y los resultados finales de esas ejecuciones
La tabla SentinelHealth no incluye un registro de la ejecución del contenido de un cuaderno de estrategias, solo si el cuaderno de estrategias se inició correctamente. En la tabla AzureDiagnostics se muestra un registro de las acciones realizadas en un cuaderno de estrategias, que son flujos de trabajo de Logic Apps. AzureDiagnostics proporciona una imagen completa del estado de automatización cuando se usa junto con los datos de SentinelHealth.
La forma más común de usar estos datos es consultando estas tablas. Para obtener los mejores resultados, compile las consultas en las funciones pregeneradas de estas tablas, _SentinelHealth() y _SentinelAudit(), en lugar de consultar las tablas directamente. Estas funciones garantizan el mantenimiento de la compatibilidad con versiones anteriores de las consultas en caso de que se realicen cambios en el esquema de las propias tablas.
La tabla SentinelHealth no es facturable y no incurre en ningún cargo por ingerir datos de estado. La tabla SentinelAudit es facturable y, al igual que en otras áreas de Microsoft Sentinel, los costos incurridos dependen del volumen de registro, que podría verse afectado por el número de actividades y los cambios realizados en las reglas relacionadas. Para obtener más información, consulte Planear costos y comprender Microsoft Sentinel precios y facturación.
Preguntas para comprobar el estado del servicio y los datos de auditoría
Use las siguientes preguntas para guiar la supervisión de los datos de estado y auditoría de Microsoft Sentinel:
¿El conector de datos se ejecuta correctamente?
¿El conector de datos recibe datos? Por ejemplo, si ha indicado a Microsoft Sentinel que ejecute una consulta cada 5 minutos, quiere comprobar si esa consulta se está realizando, cómo se está realizando y si hay riesgos o vulnerabilidades relacionados con la consulta.
¿Se ejecutó una regla de automatización según lo esperado?
¿Se ejecutó la regla de automatización cuando se suponía que era así, es decir, cuando se cumplieron sus condiciones? ¿Se ejecutaron correctamente todas las acciones de la regla de automatización?
¿Se ejecutó una regla de análisis como se esperaba?
¿Se ejecutó la regla de análisis cuando se suponía que lo hacía y generó resultados? Si espera ver incidentes concretos en la cola pero no lo hace, quiere saber si la regla se ejecutó pero no encontró nada (o suficientes cosas) o no se ejecutó en absoluto.
¿Se han realizado cambios no autorizados en una regla de análisis?
¿Ha cambiado algo en la regla? No ha obtenido los resultados esperados de la regla de análisis y no ha tenido ningún problema de mantenimiento. Desea ver si se han realizado cambios no planeados en la regla y, si es así, qué cambios se han realizado, por quién, desde dónde y cuándo.
Flujo de supervisión de estado y auditoría
Para empezar a recopilar datos de mantenimiento y auditoría, debe habilitar la supervisión de estado y auditoría en la configuración de Microsoft Sentinel. A continuación, puede profundizar en los datos de mantenimiento y auditoría que Microsoft Sentinel recopila:
| Actividad | Más información |
|---|---|
| Ejecute consultas en las tablas de datos SentinelHealth y SentinelAudit desde la página Registros de Microsoft Sentinel. | |
| Use los libros de auditoría y supervisión de estado proporcionados en Microsoft Sentinel. | |
| Uso de las herramientas de administración de ejecución de Microsoft Sentinel para supervisar y optimizar la ejecución de reglas de análisis programadas | |
| Exporte los datos a varios destinos, como el área de trabajo de Log Analytics, el archivado en una cuenta de almacenamiento y mucho más. |
Contenido relacionado
- Activar la auditoría y la supervisión de estado en Microsoft Sentinel
- Supervisión del estado de las reglas y cuadernos de estrategias de automatización
- Supervisión del estado de los conectores de datos
- Supervisión del estado y la integridad de las reglas de análisis
- Supervisión del estado del sistema SAP
- Los esquemas de tabla SentinelHealth y SentinelAudit