Monitorare l'integrità dei connettori dati

Per garantire l'inserimento dei dati completo e ininterrotto nel servizio Microsoft Sentinel, tenere traccia dell'integrità, della connettività e delle prestazioni dei connettori dati.

Le funzionalità seguenti consentono di eseguire questo monitoraggio da Microsoft Sentinel:

• Cartella di lavoro di monitoraggio dell'integrità della raccolta dati: questa cartella di lavoro fornisce monitoraggi aggiuntivi, rileva anomalie e fornisce informazioni dettagliate sullo stato di inserimento dati dell'area di lavoro. È possibile usare la logica della cartella di lavoro per monitorare l'integrità generale dei dati inseriti e per creare visualizzazioni personalizzate e avvisi basati su regole.

• Tabella dei dati SentinelHealth (anteprima): l'esecuzione di query su questa tabella fornisce informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti per ogni connettore o i connettori con modifiche dagli stati di esito positivo a quello degli errori, che è possibile usare per creare avvisi e altre azioni automatizzate. La tabella dei dati SentinelHealth è attualmente supportata solo per i connettori dati selezionati.

  Importante

  La tabella dei dati SentinelHealth è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

• Visualizzare l'integrità e lo stato dei sistemi SAP connessi: esaminare le informazioni sull'integrità dei sistemi SAP nel connettore dati SAP e usare un modello di regola di avviso per ottenere informazioni sull'integrità della raccolta dati dell'agente SAP.

Usare la cartella di lavoro di monitoraggio dell'integrità

1. Nel portale di Microsoft Sentinel selezionare Hub contenuto nella sezione Gestione contenuto del menu di spostamento.

2. Nell'hub contenuto immettere integritànella barra di ricerca e selezionare Monitoraggio dell'integrità raccolta dati tra i risultati.

3. Selezionare Installa nel riquadro dei dettagli. Quando viene visualizzato un messaggio di notifica che indica che la cartella di lavoro è installata o se invece di Installa, viene visualizzata configurazione, procedere con il passaggio successivo.

4. Selezionare Cartelle di lavoro nella sezione Gestione delle minacce del menu di spostamento.

5. Nella pagina Cartelle di lavoro selezionare la scheda Modelli, immettere integrità nella barra di ricerca e selezionare Monitoraggio integrità raccolta dati tra i risultati.

6. Selezionare Visualizza modello per usare la cartella di lavoro così com'è oppure selezionare Salva per crearne una copia modificabile. Quando viene creata la copia, selezionare Visualizza cartella di lavoro salvata.

7. Una volta nella cartella di lavoro, selezionare prima la sottoscrizione e l'area di lavoro da visualizzare, quindi definire TimeRangeper filtrare i dati in base alle proprie esigenze. Utilizzare l'interruttore Mostra guida per visualizzare la spiegazione sul posto della cartella di lavoro.

   

In questa cartella di lavoro sono presenti tre sezioni a schede:

• La scheda Panoramica mostra lo stato generale dell'inserimento dati nell'area di lavoro selezionata: misure del volume, velocità EPS e ora dell'ultimo log ricevuto.

• La scheda Anomalie della raccolta dati consente di rilevare anomalie nel processo di raccolta dati, in base alla tabella e all'origine dati. Ogni scheda presenta anomalie per una determinata tabella (la scheda Generale include una raccolta di tabelle). Le anomalie vengono calcolate usando la funzione series_decompose_anomalies() che restituisce un punteggio di anomalie. Altre informazioni su questa funzione. Impostare i parametri seguenti per la funzione da valutare:

  • AnomaliesTimeRange: questa selezione ora si applica solo alla visualizzazione anomalie della raccolta dati.

  • SampleInterval: intervallo di tempo in cui i dati vengono campionati nell'intervallo di tempo specificato. Il punteggio di anomalia viene calcolato solo sui dati dell'ultimo intervallo.

  • PositiveAlertThreshold: questo valore definisce la soglia del punteggio anomalie positivo. Accetta valori decimali.

  • NegativeAlertThreshold: questo valore definisce la soglia del punteggio anomalie negativo. Accetta valori decimali.

    

• La scheda Informazioni agente mostra le informazioni sull'integrità degli agenti di Log Analytics installati nei vari computer, ad esempio vm di Azure, altre macchine virtuali cloud, vm locali o fisiche. È possibile monitorare quanto segue:

  • Posizione del sistema

  • Stato e latenza heartbeat

  • Memoria e spazio su disco disponibili

  • Operazioni dell'agente

    In questa sezione è necessario selezionare la scheda che descrive l'ambiente dei computer: scegliere la scheda Computer gestiti da Azure se si vogliono visualizzare solo i computer gestiti da Azure Arc. Scegliere la scheda Tutti i computer per visualizzare sia i computer gestiti che non Azure con l'agente di Log Analytics installato.

    

Usare la tabella dati SentinelHealth (anteprima pubblica)

Per ottenere i dati sull'integrità del connettore dati dalla tabella dei dati SentinelHealth , è prima necessario attivare la funzionalità di integrità di Microsoft Sentinel per l'area di lavoro. Per altre informazioni, vedere Attivare il monitoraggio dell'integrità per Microsoft Sentinel.

Dopo aver attivato la funzionalità di integrità, la tabella dei dati SentinelHealth viene creata al primo evento di esito positivo o negativo generato per i connettori dati.

Connettori dati supportati

La tabella dei dati SentinelHealth è attualmente supportata solo per i connettori dati seguenti:

• Amazon Web Services (CloudTrail e S3)
• Dynamics 365
• Office 365
• Microsoft Defender per endpoint
• Intelligence sulle minacce - TAXII
• Piattaforme di intelligence sulle minacce

Informazioni sugli eventi della tabella SentinelHealth

Nella tabella SentinelHealth vengono registrati i tipi di eventi di integrità seguenti:

• Modifica dello stato di recupero dei dati. Registrato una volta all'ora, purché lo stato di un connettore dati rimanga stabile, con eventi di esito positivo o negativo continui. Se lo stato di un connettore dati non cambia, il monitoraggio funziona solo ogni ora per impedire il controllo ridondante e ridurre le dimensioni della tabella. Se lo stato del connettore dati presenta errori continui, nella colonna ExtendedProperties sono inclusi altri dettagli sugli errori.

  Se lo stato del connettore dati cambia, da un esito positivo a un errore, da un errore a un esito positivo o presenta modifiche nei motivi di errore, l'evento viene registrato immediatamente per consentire al team di intraprendere azioni proattive e immediate.

  Gli errori potenzialmente temporanei, ad esempio la limitazione del servizio di origine, vengono registrati solo dopo aver continuato per più di 60 minuti. Questi 60 minuti consentono a Microsoft Sentinel di risolvere un problema temporaneo nel back-end e di recuperare i dati, senza richiedere alcuna azione da parte dell'utente. Gli errori che non sono sicuramente temporanei vengono registrati immediatamente.

• Riepilogo degli errori. Registrato una volta all'ora, per connettore, per area di lavoro, con un riepilogo degli errori aggregati. Gli eventi di riepilogo degli errori vengono creati solo quando il connettore ha riscontrato errori di polling durante l'ora specificata. Contengono eventuali dettagli aggiuntivi forniti nella colonna ExtendedProperties , ad esempio il periodo di tempo per il quale è stata eseguita una query sulla piattaforma di origine del connettore e un elenco distinto di errori riscontrati durante il periodo di tempo.

Per altre informazioni, vedere Schema delle colonne della tabella SentinelHealth.

Eseguire query per rilevare le deviazioni di integrità

Creare query nella tabella SentinelHealth per rilevare le deviazioni di integrità nei connettori dati. Ad esempio:

Rilevare gli eventi di errore più recenti per connettore:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Rilevare i connettori con modifiche dallo stato di esito negativo a quello riuscito:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Rilevare i connettori con modifiche dallo stato di esito positivo allo stato negativo:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Configurare avvisi e azioni automatizzate per i problemi di integrità

Sebbene sia possibile usare le regole di analisi di Microsoft Sentinel per configurare l'automazione nei log di Microsoft Sentinel, se si vuole ricevere una notifica e intervenire immediatamente per le deviazioni di integrità nei connettori dati, è consigliabile usare le regole di avviso di Monitoraggio di Azure.

Ad esempio:

1. In una regola di avviso di Monitoraggio di Azure selezionare l'area di lavoro di Microsoft Sentinel come ambito della regola e Ricerca log personalizzata come prima condizione.

2. Personalizzare la logica di avviso in base alle esigenze, ad esempio la frequenza o la durata del lookback e quindi usare le query per cercare deviazioni di integrità.

3. Per le azioni della regola, selezionare un gruppo di azioni esistente o crearne uno nuovo in base alle esigenze per configurare le notifiche push o altre azioni automatizzate, ad esempio l'attivazione di un'app per la logica, un webhook o una funzione di Azure nel sistema.

Per altre informazioni, vedere Panoramica degli avvisi di Monitoraggio di Azure e log degli avvisi di Monitoraggio di Azure.

Passaggi successivi

• Informazioni sul controllo e sul monitoraggio dell'integrità in Microsoft Sentinel.
• Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
• Monitorare l'integrità delle regole di automazione e dei playbook.
• Monitorare l'integrità e l'integrità delle regole di analisi.
• Vedere altre informazioni sugli schemi di tabella SentinelHealth e SentinelAudit.