Audit dan pemantauan kesehatan di Microsoft Azure Sentinel

Microsoft Sentinel adalah layanan penting untuk memajukan dan melindungi keamanan aset teknologi dan informasi organisasi Anda, sehingga Anda harus yakin bahwa aset tersebut selalu berjalan lancar dan bebas dari gangguan. Anda harus dapat memastikan bahwa banyak bagian layanan yang bergerak selalu berfungsi seperti yang dimaksudkan dan bahwa layanan tidak dimanipulasi oleh tindakan yang tidak sah, baik oleh pengguna internal atau sebaliknya. Anda juga mungkin ingin mengonfigurasi pemberitahuan penyimpangan kesehatan atau tindakan yang tidak sah untuk dikirim ke pemangku kepentingan terkait yang dapat merespons atau menyetujui respons. Misalnya, Anda dapat mengatur kondisi untuk memicu pengiriman email atau pesan Microsoft Teams ke tim operasi, manajer, atau petugas, meluncurkan tiket baru di sistem tiket Anda, dan sebagainya.

Artikel ini menjelaskan bagaimana fitur pemantauan dan audit kesehatan Microsoft Sentinel memungkinkan Anda memantau aktivitas beberapa sumber daya utama layanan dan memeriksa log tindakan pengguna dalam layanan.

Deskripsi

Bagian ini menjelaskan fungsi dan kasus penggunaan komponen pemantauan dan audit kesehatan.

Penyimpanan data

Data kesehatan dan audit dikumpulkan dalam dua tabel di ruang kerja Analitik Log Anda:

• Data kesehatan dikumpulkan dalam tabel SentinelHealth .
• Data audit dikumpulkan dalam tabel SentinelAudit .

Cara yang lazim Anda akan menggunakan data ini adalah dengan mengkueri tabel ini.

Untuk hasil terbaik, Anda harus membangun kueri Anda pada fungsi bawaan pada tabel ini, _SentinelHealth() dan _SentinelAudit(), alih-alih mengkueri tabel secara langsung. Fungsi-fungsi ini memastikan pemeliharaan kompatibilitas mundur kueri Anda jika terjadi perubahan pada skema tabel itu sendiri.

Penting

• Tabel data SentinelHealth dan SentinelAudit saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

• Saat memantau kesehatan playbook, Anda juga harus mengambil peristiwa diagnostik Azure Logic Apps dari playbook Anda, selain data SentinelHealth , untuk mendapatkan gambaran lengkap aktivitas playbook Anda. Data diagnostik Azure Logic Apps dikumpulkan dalam tabel AzureDiagnostics di ruang kerja Anda.

Kasus penggunaan

Kesehatan

Apakah konektor data berjalan dengan benar?

Apakah konektor data menerima data? Misalnya, jika Anda telah menginstruksikan Microsoft Azure Sentinel untuk menjalankan kueri setiap 5 menit, Anda ingin memeriksa apakah kueri sedang dilakukan, performanya, dan apakah ada risiko atau kerentanan yang terkait dengan kueri.

Apakah aturan otomatisasi berjalan seperti yang diharapkan?

Apakah aturan otomatisasi Anda berjalan ketika seharusnya—yaitu, kapan kondisinya terpenuhi? Apakah semua tindakan dalam aturan otomatisasi berhasil dijalankan?

Apakah aturan analitik berjalan seperti yang diharapkan?

Apakah aturan analitik Anda berjalan saat seharusnya, dan apakah aturan tersebut menghasilkan hasil? Jika Anda mengharapkan untuk melihat insiden tertentu dalam antrean Anda tetapi tidak, Anda ingin tahu apakah aturan berjalan tetapi tidak menemukan apa pun (atau cukup hal), atau tidak berjalan sama sekali.

Audit

Apakah perubahan tidak sah dilakukan pada aturan analitik?

Apakah ada yang berubah dalam aturan? Anda tidak mendapatkan hasil yang Anda harapkan dari aturan analitik Anda, dan tidak memiliki masalah kesehatan. Anda ingin melihat apakah ada perubahan yang tidak dienkripsi dibuat pada aturan, dan jika demikian, perubahan apa yang dibuat, oleh siapa, dari mana, dan kapan.

Cara Microsoft Azure Sentinel menyajikan data kesehatan dan audit

Untuk mulai mengumpulkan data kesehatan dan audit, Anda perlu mengaktifkan pemantauan kesehatan dan audit di pengaturan Microsoft Azure Sentinel. Kemudian Anda dapat menyelami data kesehatan dan audit yang dikumpulkan Microsoft Azure Sentinel:

• Jalankan kueri pada tabel data SentinelHealth dan SentinelAudit dari bilah Log Microsoft Azure Sentinel.

  • Konektor data
  • Aturan dan playbook Automation (gabungkan kueri dengan diagnostik Azure Logic Apps)
  • Aturan analitik

• Gunakan buku kerja audit dan pemantauan kesehatan yang disediakan di Microsoft Azure Sentinel.

  • Konektor data
  • Aturan dan playbook Automation
  • Aturan analitik

• Gunakan alat manajemen eksekusi Microsoft Azure Sentinel untuk memantau dan mengoptimalkan eksekusi aturan analitik terjadwal.

• Ekspor data ke berbagai tujuan, seperti ruang kerja Analitik Log Anda, pengarsipan ke akun penyimpanan, dan banyak lagi. Pelajari tentang tujuan yang didukung untuk log Anda.

Langkah berikutnya

• Aktifkan audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Pantau kesehatan aturan dan playbook otomatisasi Anda.
• Pantau kesehatan konektor data Anda.
• Pantau kesehatan dan integritas aturan analitik Anda.
• Lihat informasi selengkapnya tentang skema tabel SentinelHealth dan SentinelAudit .

Lihat juga:

• Menggunakan Solusi Microsoft Azure Sentinel untuk SAP? Pantau kesehatannya juga.