Naplózás és állapotfigyelés a Microsoft Sentinelben

A Microsoft Sentinel kritikus fontosságú szolgáltatás a szervezet technológiai és információs eszközeinek biztonságának előmozdításához és védelméhez, ezért biztos lehet benne, hogy mindig zökkenőmentesen és beavatkozás nélkül működik. Biztosítani szeretné, hogy a szolgáltatás számos mozgó alkatrésze mindig a kívánt módon működjön, és hogy a szolgáltatást ne manipulálják jogosulatlan műveletek, akár belső felhasználók, akár más módon. Emellett beállíthatja, hogy az állapoteltérésekről vagy a jogosulatlan műveletekről értesítéseket küldhessenek a megfelelő érdekelt feleknek, akik válaszolhatnak vagy jóváhagyhatnak egy választ. Beállíthat például olyan feltételeket, amelyek aktiválják az e-mailek vagy a Microsoft Teams-üzenetek küldését az operatív csapatoknak, a vezetőknek vagy a tisztviselőknek, új jegyeket indíthatnak el a jegykezelő rendszerben stb.

Ez a cikk azt ismerteti, hogy a Microsoft Sentinel állapotmonitorozási és naplózási funkciói hogyan figyelik a szolgáltatás egyes fő erőforrásainak tevékenységét, és hogyan vizsgálhatók meg a szolgáltatáson belüli felhasználói műveletek naplói.

Leírás

Ez a szakasz az állapotmonitorozási és naplózási összetevők függvényeit és használati eseteit ismerteti.

Adattárolás

Az állapot- és naplózási adatok a Log Analytics-munkaterület két táblájában vannak összegyűjtve:

• Az állapotadatok gyűjtése a SentinelHealth táblában történik.
• A rendszer a SentinelAudit táblában gyűjti a naplózási adatokat.

Az adatok használatának leggyakoribb módja a táblák lekérdezése.

A legjobb eredmény érdekében a lekérdezéseket a táblák előre elkészített függvényeire kell építenie, _SentinelHealth() és _SentinelAudit() ahelyett, hogy közvetlenül lekérdezi a táblákat. Ezek a függvények biztosítják a lekérdezések visszamenőleges kompatibilitásának fenntartását abban az esetben, ha a táblák sémáját módosítják.

Fontos

• A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

• A forgatókönyvek állapotának monitorozása során az Azure Logic Apps diagnosztikai eseményeit is rögzítenie kell a forgatókönyvekből a SentinelHealth adatai mellett, hogy teljes képet kapjon a forgatókönyv tevékenységeiről. Az Azure Logic Apps diagnosztikai adatai a munkaterület AzureDiagnostics táblájában lesznek összegyűjtve.

Használati esetek

Egészségügy

Megfelelően fut az adatösszekötő?

Az adatösszekötő fogad adatokat? Ha például arra utasította a Microsoft Sentinelt, hogy futtasson egy lekérdezést 5 percenként, ellenőrizze, hogy a lekérdezés végrehajtása folyamatban van-e, hogyan történik, és hogy vannak-e a lekérdezéssel kapcsolatos kockázatok vagy biztonsági rések.

Az automatizálási szabály a várt módon futott?

Az automatizálási szabály akkor futott, amikor kellett volna – vagyis amikor teljesültek a feltételei? Sikeresen lefutott az automatizálási szabály összes művelete?

Az elemzési szabály a várt módon futott?

Az elemzési szabály akkor futott, amikor kellett volna, és hozott létre eredményeket? Ha arra számít, hogy bizonyos incidenseket lát az üzenetsorban, de nem, tudni szeretné, hogy a szabály futott-e, de nem talált semmit (vagy elég dolgot), vagy egyáltalán nem futott.

Naplózás

Jogosulatlan módosításokat hajtottak végre egy elemzési szabályon?

Megváltozott valami a szabályban? Az elemzési szabálytól várt eredményeket nem érte el, és nem voltak állapotproblémái. Látni szeretné, hogy történt-e nem tervezett módosítás a szabályon, és ha igen, milyen módosításokat hajtottak végre, ki, honnan és mikor.

A Microsoft Sentinel állapot- és naplózási adatainak bemutatása

Az állapot- és naplózási adatok gyűjtésének megkezdéséhez engedélyeznie kell az állapot- és auditfigyelést a Microsoft Sentinel beállításaiban. Ezután megismerheti a Microsoft Sentinel által gyűjtött állapotadatokat és naplózási adatokat:

• Lekérdezések futtatása a SentinelHealth és a SentinelAudit adattáblákon a Microsoft Sentinel-naplók panelen.

  • Adatösszekötők
  • Automatizálási szabályok és forgatókönyvek (összekapcsoló lekérdezés az Azure Logic Apps diagnosztikáival)
  • Elemzési szabályok

• Használja a Microsoft Sentinelben található naplózási és állapotmonitorozási munkafüzeteket.

  • Adatösszekötők
  • Automatizálási szabályok és forgatókönyvek
  • Elemzési szabályok

• A Microsoft Sentinel végrehajtási felügyeleti eszközeivel figyelheti és optimalizálhatja az ütemezett elemzési szabályok végrehajtását.

• Exportálja az adatokat különböző célhelyekre, például a Log Analytics-munkaterületre, archiválás egy tárfiókba stb. Ismerje meg a naplók támogatott célhelyeit .

Következő lépések

• Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
• Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
• Monitorozza az adatösszekötők állapotát.
• Az elemzési szabályok állapotának és integritásának monitorozása.
• További információ a SentinelHealth és a SentinelAudit táblasémákról.

Lásd még:

• Az SAP-hoz készült Microsoft Sentinel-megoldás használata? Monitorozza az állapotát is.