Controllo e monitoraggio dell'integrità in Microsoft Sentinel

Microsoft Sentinel è un servizio fondamentale per promuovere e proteggere la sicurezza degli asset tecnologici e informativi dell'organizzazione, quindi si vuole essere sicuri che sia sempre in esecuzione senza interferenze.

Si vuole verificare che le molte parti in movimento del servizio funzionino sempre come previsto e non vengano modificate da azioni non autorizzate, sia da utenti interni che da altri utenti. È anche possibile configurare le notifiche di deviazioni di integrità o azioni non autorizzate da inviare agli stakeholder interessati che possono rispondere o approvare una risposta. Ad esempio, è possibile impostare condizioni per attivare l'invio di messaggi di posta elettronica o messaggi di Microsoft Teams ai team operativi, ai manager o ai responsabili, avviare nuovi ticket nel sistema di ticket e così via.

Questo articolo descrive il modo in cui le funzionalità di monitoraggio e controllo dell'integrità di Microsoft Sentinel consentono di monitorare l'attività di alcune delle risorse chiave del servizio ed esaminare i log delle azioni degli utenti all'interno del servizio.

Integrità e controllo dell'archiviazione dei dati

I dati di integrità e controllo vengono raccolti in due tabelle nell'area di lavoro Log Analytics: SentinelHealth e SentinelAudit

I dati di controllo vengono raccolti nella tabella SentinelAudit.

I dati di integrità vengono raccolti nella tabella SentinelHealth, che acquisisce gli eventi che registrano ogni volta che viene eseguita una regola di automazione e i risultati finali di tali esecuzioni. La tabella SentinelHealth include:

• Indica se le azioni avviate nella regola hanno esito positivo o negativo e i playbook chiamati dalla regola.
• Eventi che registrano l'attivazione su richiesta (manuale o basata su API) dei playbook, incluse le identità che li hanno attivati e i risultati finali di tali esecuzioni

La tabella SentinelHealth non include un record dell'esecuzione del contenuto di un playbook, solo se il playbook è stato avviato correttamente. Un log delle azioni eseguite all'interno di un playbook, ovvero flussi di lavoro di App per la logica, è elencato nella tabella AzureDiagnostics. AzureDiagnostics offre un quadro completo dell'integrità dell'automazione quando usato in combinazione con i dati SentinelHealth.

Il modo più comune in cui si usano questi dati consiste nell'eseguire query su queste tabelle. Per ottenere risultati ottimali, compilare le query sulle funzioni predefinite in queste tabelle, _SentinelHealth() e _SentinelAudit() anziché eseguire query direttamente sulle tabelle. Queste funzioni garantiscono la manutenzione della compatibilità con le versioni precedenti delle query in caso di modifiche apportate allo schema delle tabelle stesse.

La tabella SentinelHealth non è fatturabile e non comporta alcun addebito per l'inserimento dei dati di integrità. La tabella SentinelAudit è fatturabile e, come in altre aree di Microsoft Sentinel, i costi sostenuti dipendono dal volume di log, che potrebbe essere influenzato dal numero di attività e dalle modifiche apportate alle regole correlate. Per altre informazioni, vedere Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel.

Importante

Le tabelle dati SentinelHealth e SentinelAudit sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Domande per verificare l'integrità dei servizi e controllare i dati

Usare le domande seguenti per guidare il monitoraggio dei dati di integrità e controllo di Microsoft Sentinel:

Il connettore dati è in esecuzione correttamente?

Il connettore dati riceve i dati? Ad esempio, se è stato richiesto a Microsoft Sentinel di eseguire una query ogni 5 minuti, si vuole verificare se la query viene eseguita, come viene eseguita e se sono presenti rischi o vulnerabilità correlati alla query.

È stata eseguita una regola di automazione come previsto?

La regola di automazione è stata eseguita quando doveva esserlo, ovvero quando sono state soddisfatte le condizioni? Tutte le azioni nella regola di automazione sono state eseguite correttamente?

È stata eseguita una regola analitica come previsto?

La regola analitica è stata eseguita quando doveva esserlo e ha generato risultati? Se si prevede di visualizzare eventi imprevisti specifici nella coda, ma si vuole che avvenga, occorre sapere se la regola è stata eseguita ma non ha trovato nulla (o elementi sufficienti) o non è stata eseguita affatto.

Sono state apportate modifiche non autorizzate a una regola di analisi?

Era stato modificato qualcosa nella regola? Non sono stati ottenuti i risultati previsti dalla regola di analisi e non si sono riscontrati problemi di integrità. Si vuole verificare se sono state apportate modifiche non pianificate alla regola e, in tal caso, quali modifiche sono state apportate, da chi, dove e quando.

Flusso di monitoraggio dell'integrità e del controllo

Per iniziare a raccogliere i dati di integrità e controllo, è necessario abilitare il monitoraggio dell'integrità e del controllo nelle impostazioni di Microsoft Sentinel. È quindi possibile esaminare i dati di integrità e controllo raccolti da Microsoft Sentinel:

Impegno	Ulteriori informazioni
Eseguire query nelle tabelle di dati SentinelHealth e SentinelAudit dalla pagina Log di Microsoft Sentinel.	Connettori dati Regole e playbook di automazione (aggiunta di query con la diagnostica di App per la logica di Azure) Regole di Analytics
Usare le cartelle di lavoro di controllo e monitoraggio dell'integrità fornite in Microsoft Sentinel.	Connettori dati Regole di automazione e playbook Regole di Analytics
Usare gli strumenti di gestione delle esecuzioni di Microsoft Sentinel per monitorare e ottimizzare l'esecuzione pianificata delle regole di analitica	Monitorare e ottimizzare l'esecuzione delle regole di analisi pianificata
Esportare i dati in varie destinazioni, ad esempio l'area di lavoro Log Analytics, l'archiviazione in un account di archiviazione e altro ancora.	Impostazioni di diagnostica in Monitoraggio di Azure

Contenuto correlato

• Attivare il controllo e il monitoraggio dello stato in Microsoft Sentinel
• Monitorare l'integrità delle regole di automazione e dei playbook
• Monitorare l'integrità dei connettori dati
• Monitorare l'integrità delle regole di analisi
• Monitorare l'integrità del sistema SAP
• Schemi di tabella SentinelHealth e SentinelAudit.