Naplózás és állapotfigyelés a Microsoft Sentinelben
A Microsoft Sentinel kritikus fontosságú szolgáltatás a szervezet technológiai és információs eszközeinek biztonságának előmozdításához és védelméhez, ezért biztos lehet benne, hogy mindig zökkenőmentesen és beavatkozás nélkül működik. Biztosítani szeretné, hogy a szolgáltatás számos mozgó alkatrésze mindig a kívánt módon működjön, és hogy a szolgáltatást ne manipulálják jogosulatlan műveletek, akár belső felhasználók, akár más módon. Emellett beállíthatja, hogy az állapoteltérésekről vagy a jogosulatlan műveletekről értesítéseket küldhessenek a megfelelő érdekelt feleknek, akik válaszolhatnak vagy jóváhagyhatnak egy választ. Beállíthat például olyan feltételeket, amelyek aktiválják az e-mailek vagy a Microsoft Teams-üzenetek küldését az operatív csapatoknak, a vezetőknek vagy a tisztviselőknek, új jegyeket indíthatnak el a jegykezelő rendszerben stb.
Ez a cikk azt ismerteti, hogy a Microsoft Sentinel állapotmonitorozási és naplózási funkciói hogyan figyelik a szolgáltatás egyes fő erőforrásainak tevékenységét, és hogyan vizsgálhatók meg a szolgáltatáson belüli felhasználói műveletek naplói.
Leírás
Ez a szakasz az állapotmonitorozási és naplózási összetevők függvényeit és használati eseteit ismerteti.
Adattárolás
Az állapot- és naplózási adatok a Log Analytics-munkaterület két táblájában vannak összegyűjtve:
- Az állapotadatok gyűjtése a SentinelHealth táblában történik.
- A rendszer a SentinelAudit táblában gyűjti a naplózási adatokat.
Az adatok használatának leggyakoribb módja a táblák lekérdezése.
A legjobb eredmény érdekében a lekérdezéseket a táblák előre elkészített függvényeire kell építenie, _SentinelHealth() és _SentinelAudit() ahelyett, hogy közvetlenül lekérdezi a táblákat. Ezek a függvények biztosítják a lekérdezések visszamenőleges kompatibilitásának fenntartását abban az esetben, ha a táblák sémáját módosítják.
Fontos
A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
A forgatókönyvek állapotának monitorozása során az Azure Logic Apps diagnosztikai eseményeit is rögzítenie kell a forgatókönyvekből a SentinelHealth adatai mellett, hogy teljes képet kapjon a forgatókönyv tevékenységeiről. Az Azure Logic Apps diagnosztikai adatai a munkaterület AzureDiagnostics táblájában lesznek összegyűjtve.
Használati esetek
Egészségügy
Megfelelően fut az adatösszekötő?
Az adatösszekötő fogad adatokat? Ha például arra utasította a Microsoft Sentinelt, hogy futtasson egy lekérdezést 5 percenként, ellenőrizze, hogy a lekérdezés végrehajtása folyamatban van-e, hogyan történik, és hogy vannak-e a lekérdezéssel kapcsolatos kockázatok vagy biztonsági rések.
Az automatizálási szabály a várt módon futott?
Az automatizálási szabály akkor futott, amikor kellett volna – vagyis amikor teljesültek a feltételei? Sikeresen lefutott az automatizálási szabály összes művelete?
Az elemzési szabály a várt módon futott?
Az elemzési szabály akkor futott, amikor kellett volna, és hozott létre eredményeket? Ha arra számít, hogy bizonyos incidenseket lát az üzenetsorban, de nem, tudni szeretné, hogy a szabály futott-e, de nem talált semmit (vagy elég dolgot), vagy egyáltalán nem futott.
Naplózás
Jogosulatlan módosításokat hajtottak végre egy elemzési szabályon?
Megváltozott valami a szabályban? Az elemzési szabálytól várt eredményeket nem érte el, és nem voltak állapotproblémái. Látni szeretné, hogy történt-e nem tervezett módosítás a szabályon, és ha igen, milyen módosításokat hajtottak végre, ki, honnan és mikor.
A Microsoft Sentinel állapot- és naplózási adatainak bemutatása
Az állapot- és naplózási adatok gyűjtésének megkezdéséhez engedélyeznie kell az állapot- és auditfigyelést a Microsoft Sentinel beállításaiban. Ezután megismerheti a Microsoft Sentinel által gyűjtött állapotadatokat és naplózási adatokat:
Lekérdezések futtatása a SentinelHealth és a SentinelAudit adattáblákon a Microsoft Sentinel-naplók panelen.
- Adatösszekötők
- Automatizálási szabályok és forgatókönyvek (összekapcsoló lekérdezés az Azure Logic Apps diagnosztikáival)
- Elemzési szabályok
Használja a Microsoft Sentinelben található naplózási és állapotmonitorozási munkafüzeteket.
A Microsoft Sentinel végrehajtási felügyeleti eszközeivel figyelheti és optimalizálhatja az ütemezett elemzési szabályok végrehajtását.
Exportálja az adatokat különböző célhelyekre, például a Log Analytics-munkaterületre, archiválás egy tárfiókba stb. Ismerje meg a naplók támogatott célhelyeit .
Következő lépések
- Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
- Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
- Monitorozza az adatösszekötők állapotát.
- Az elemzési szabályok állapotának és integritásának monitorozása.
- További információ a SentinelHealth és a SentinelAudit táblasémákról.
Lásd még:
- Az SAP-hoz készült Microsoft Sentinel-megoldás használata? Monitorozza az állapotát is.