Controllo e monitoraggio dell'integrità in Microsoft Sentinel
Microsoft Sentinel è un servizio fondamentale per promuovere e proteggere la sicurezza degli asset tecnologici e informativi dell'organizzazione, quindi si vuole essere sicuri che sia sempre in esecuzione senza interferenze e senza interferenze.
Si vuole verificare che le molte parti in movimento del servizio funzionino sempre come previsto e non vengano modificate da azioni non autorizzate, sia da utenti interni che da altri utenti. È anche possibile configurare notifiche di deviazioni di integrità o azioni non autorizzate da inviare agli stakeholder interessati che possono rispondere o approvare una risposta. Ad esempio, è possibile impostare condizioni per attivare l'invio di messaggi di posta elettronica o messaggi di Microsoft Teams ai team operativi, ai manager o ai responsabili, avviare nuovi ticket nel sistema di ticket e così via.
Questo articolo descrive il modo in cui le funzionalità di monitoraggio e controllo dell'integrità di Microsoft Sentinel consentono di monitorare l'attività di alcune delle risorse chiave del servizio ed esaminare i log delle azioni degli utenti all'interno del servizio.
Integrità e controllo dell'archiviazione dei dati
I dati di integrità e controllo vengono raccolti in due tabelle nell'area di lavoro Log Analytics: SentinelHealth e SentinelAudit
I dati di controllo vengono raccolti nella tabella SentinelAudit .
I dati di integrità vengono raccolti nella tabella SentinelHealth , che acquisisce gli eventi che registrano ogni volta che viene eseguita una regola di automazione e i risultati finali di tali esecuzioni. La tabella SentinelHealth include:
- Indica se le azioni avviate nella regola hanno esito positivo o negativo e i playbook chiamati dalla regola.
- Eventi che registrano l'attivazione su richiesta (manuale o basata su API) dei playbook, incluse le identità che li hanno attivati e i risultati finali di tali esecuzioni
La tabella SentinelHealth non include un record dell'esecuzione del contenuto di un playbook, solo se il playbook è stato avviato correttamente. Un log delle azioni eseguite all'interno di un playbook, ovvero flussi di lavoro di App per la logica, è elencato nella tabella AzureDiagnostics . AzureDiagnostics offre un quadro completo dell'integrità dell'automazione quando usato in combinazione con i dati SentinelHealth.
Il modo più comune per usare questi dati consiste nell'eseguire query su queste tabelle. Per ottenere risultati ottimali, compilare le query sulle funzioni predefinite in queste tabelle, _SentinelHealth() e _SentinelAudit() anziché eseguire query direttamente sulle tabelle. Queste funzioni garantiscono la manutenzione della compatibilità con le versioni precedenti delle query in caso di modifiche apportate allo schema delle tabelle stesse.
Importante
Le tabelle di dati SentinelHealth e SentinelAudit sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Domande per verificare l'integrità dei servizi e controllare i dati
Usare le domande seguenti per guidare il monitoraggio dei dati di integrità e controllo di Microsoft Sentinel:
Il connettore dati è in esecuzione correttamente?
Il connettore dati riceve i dati? Ad esempio, se è stato richiesto a Microsoft Sentinel di eseguire una query ogni 5 minuti, si vuole verificare se la query viene eseguita, come viene eseguita e se sono presenti rischi o vulnerabilità correlati alla query.
È stata eseguita una regola di automazione come previsto?
La regola di automazione è stata eseguita quando doveva essere soddisfatta, ovvero quando sono state soddisfatte le condizioni? Tutte le azioni nella regola di automazione sono state eseguite correttamente?
Una regola di analisi è stata eseguita come previsto?
La regola di analisi è stata eseguita quando doveva essere eseguita e ha generato i risultati? Se si prevede di visualizzare eventi imprevisti specifici nella coda, ma non lo si vuole, si vuole sapere se la regola è stata eseguita ma non ha trovato nulla (o abbastanza cose) o non è stato eseguito affatto.
Sono state apportate modifiche non autorizzate a una regola di analisi?
C'era qualcosa di cambiato nella regola? Non sono stati ottenuti i risultati previsti dalla regola di analisi e non si sono riscontrati problemi di integrità. Si vuole verificare se sono state apportate modifiche non pianificate alla regola e, in tal caso, quali modifiche sono state apportate, da chi, da dove e quando.
Flusso di monitoraggio dell'integrità e del controllo
Per iniziare a raccogliere i dati di integrità e controllo, è necessario abilitare il monitoraggio dell'integrità e del controllo nelle impostazioni di Microsoft Sentinel. È quindi possibile esaminare i dati di integrità e controllo raccolti da Microsoft Sentinel:
Eseguire query sulle tabelle di dati SentinelHealth e SentinelAudit dal pannello Log di Microsoft Sentinel.
- Connettori dati
- Regole e playbook di automazione (eseguire l'aggiunta di query con diagnostica App per la logica di Azure)
- Regole di analisi
Usare le cartelle di lavoro di controllo e monitoraggio dell'integrità fornite in Microsoft Sentinel.
Usare gli strumenti di gestione delle esecuzioni di Microsoft Sentinel per monitorare e ottimizzare l'esecuzione delle regole di analisi pianificate.
Esportare i dati in varie destinazioni, ad esempio l'area di lavoro Log Analytics, l'archiviazione in un account di archiviazione e altro ancora. Informazioni sulle destinazioni supportate per i log.
Passaggi successivi
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Monitorare l'integrità delle regole di automazione e dei playbook.
- Monitorare l'integrità dei connettori dati.
- Monitorare l'integrità e l'integrità delle regole di analisi.
- Vedere altre informazioni sugli schemi di tabella SentinelHealth e SentinelAudit.
Vedere anche: