Attivare il controllo e il monitoraggio dell'integrità per Microsoft Sentinel (anteprima)

Monitorare l'integrità e controllare l'integrità delle risorse di Microsoft Sentinel supportate attivando la funzionalità di controllo e monitoraggio dell'integrità nella pagina Impostazioni di Microsoft Sentinel. Ottenere informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti o le modifiche dagli stati di esito positivo agli stati di errore e sulle azioni non autorizzate e usare queste informazioni per creare notifiche e altre azioni automatizzate.

Per ottenere dati sull'integrità dalla tabella dei dati SentinelHealth o per ottenere informazioni di controllo dalla tabella dei dati SentinelAudit , è prima necessario attivare la funzionalità di controllo e monitoraggio dell'integrità di Microsoft Sentinel per l'area di lavoro.

Questo articolo illustra come attivare queste funzionalità.

Per implementare la funzionalità di integrità e controllo usando l'API (Bicep/ARM/REST), esaminare le operazioni di impostazioni di diagnostica.

Per configurare il tempo di conservazione per gli eventi di controllo e integrità, vedere Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.

Importante

Le tabelle dati SentinelHealth e SentinelAudit sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Tabelle dati e tipi di risorse

Quando la funzionalità è attivata, le tabelle di dati SentinelHealth e SentinelAudit vengono create al primo evento generato per le risorse selezionate.

I tipi di risorse seguenti sono attualmente supportati per il monitoraggio dell'integrità:

• Regole di analisi (nuovo!)
• Connettori dati
• Regole di automazione
• Playbook (flussi di lavoro di App per la logica di Azure)

  Nota

  Quando si monitora l'integrità del playbook, è anche necessario raccogliere eventi di diagnostica di App per la logica di Azure dai playbook per ottenere l'immagine completa dell'attività del playbook. Per altre informazioni, vedere Monitorare l'integrità delle regole di automazione e dei playbook .

Per il controllo è attualmente supportato solo il tipo di risorsa della regola di analisi.

Attivare il controllo e il monitoraggio dell'integrità per l'area di lavoro

1. In Microsoft Sentinel, nel menu Configurazione a sinistra selezionare Impostazioni.

2. Selezionare Impostazioni nel banner.

3. Scorrere verso il basso fino alla sezione Controllo e monitoraggio dell'integrità visualizzata di seguito e selezionarla per espanderla.

4. Selezionare Abilita per abilitare il controllo e il monitoraggio dell'integrità in tutti i tipi di risorse e inviare i dati di controllo e monitoraggio all'area di lavoro di Microsoft Sentinel e altrove.

   In alternativa, selezionare il collegamento Configura impostazioni di diagnostica per abilitare il monitoraggio dell'integrità solo per l'agente di raccolta dati e/o le risorse di automazione oppure per configurare opzioni avanzate, ad esempio posizioni aggiuntive per inviare i dati.

   

   Se è stata selezionata l'opzione Abilita, il pulsante verrà disattivato e verrà modificato per leggere Abilitazione e quindi Abilitato. A questo punto, il controllo e il monitoraggio dell'integrità sono abilitati e l'operazione è completata. Le impostazioni di diagnostica appropriate sono state aggiunte in background ed è possibile visualizzarle e modificarle selezionando il collegamento Configura impostazioni di diagnostica .

5. Se è stata selezionata l'opzione Configura impostazioni di diagnostica, nella schermata Impostazioni di diagnostica selezionare + Aggiungi impostazione di diagnostica.

   Se si modifica un'impostazione esistente, selezionarla dall'elenco delle impostazioni di diagnostica.

   • Nel campo Nome impostazione diagnostica immettere un nome significativo per l'impostazione.

   • Nella colonna Log selezionare le categorie appropriate per i tipi di risorse da monitorare, ad esempio Raccolta dati - Connettori. Selezionare allLogs se si vuole monitorare le regole di analisi.

   • In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics e selezionare l'area di lavoroSottoscrizione e Log Analytics dai menu a discesa.

     

     Se necessario, è possibile selezionare altre destinazioni a cui inviare i dati, oltre all'area di lavoro Log Analytics.

6. Selezionare Salva nel banner superiore per salvare la nuova impostazione.

Le tabelle dati SentinelHealth e SentinelAudit vengono create al primo evento generato per le risorse selezionate.

Verificare che le tabelle ricevano dati

Nella pagina Log di Microsoft Sentinel eseguire una query nella tabella SentinelHealth . Ad esempio:

_SentinelHealth()
 | take 20

Passaggi successivi

• Informazioni sul controllo e sul monitoraggio dell'integrità in Microsoft Sentinel.
• Monitorare l'integrità delle regole di automazione e dei playbook.
• Monitorare l'integrità dei connettori dati.
• Monitorare l'integrità e l'integrità delle regole di analisi.
• Vedere altre informazioni sugli schemi di tabella SentinelHealth e SentinelAudit .