Condividi tramite

Monitorare l'integrità e controllare l'integrità delle regole di analisi

  • Articolo

Per garantire un rilevamento completo, ininterrotto e senza manomissione delle minacce nel servizio Microsoft Sentinel, tenere traccia dell'integrità e dell'integrità delle regole di analisi e mantenerle funzionanti in modo ottimale, monitorando le informazioni dettagliate sull'esecuzione, eseguendo query sui log di integrità e controllo e usando rieseguire manualmente per testare e ottimizzare le regole.

Configurare le notifiche degli eventi di integrità e controllo per gli stakeholder interessati, che possono quindi intervenire. Ad esempio, definire e inviare messaggi di posta elettronica o Microsoft Teams, creare nuovi ticket nel sistema di ticket e così via.

Questo articolo descrive come usare le funzionalità di controllo e monitoraggio dell'integrità di Microsoft Sentinel per tenere traccia dell'integrità e dell'integrità delle regole di analisi dall'interno di Microsoft Sentinel.

Per informazioni dettagliate sulle regole e la ripetizione manuale delle regole, vedere Monitorare e ottimizzare l'esecuzione delle regole di analisi pianificate.

Importante

Le tabelle di dati SentinelHealth e SentinelAudit sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Riepilogo

  • Log di integrità delle regole di analisi di Microsoft Sentinel:

    • Questo log acquisisce gli eventi che registrano l'esecuzione delle regole di analisi e il risultato finale di queste esecuzione, se hanno avuto esito positivo o negativo e, se hanno avuto esito negativo, perché.
    • Il log registra anche, per ogni esecuzione di una regola di analisi:
      • Numero di eventi acquisiti dalla query della regola.
      • Indica se il numero di eventi ha superato la soglia definita nella regola, causando l'generazione di un avviso da parte della regola.

    Questi log vengono raccolti nella tabella SentinelHealth in Log Analytics.

  • Log di controllo delle regole di analisi di Microsoft Sentinel:

    • Questo log acquisisce gli eventi che registrano le modifiche apportate a qualsiasi regola di analisi, inclusi i dettagli seguenti:
      • Nome della regola modificata.
      • Quali proprietà della regola sono state modificate.
      • Stato delle impostazioni della regola prima e dopo la modifica.
      • L'utente o l'identità che ha apportato la modifica.
      • IP di origine e data/ora della modifica.
      • ...e altri.

    Questi log vengono raccolti nella tabella SentinelAudit in Log Analytics.

Usare le tabelle di dati SentinelHealth e SentinelAudit (anteprima)

Per ottenere i dati di controllo e integrità dalle tabelle descritte in precedenza, è prima necessario attivare la funzionalità di integrità di Microsoft Sentinel per l'area di lavoro. Per altre informazioni, vedere Attivare il controllo e il monitoraggio dell'integrità per Microsoft Sentinel.

Dopo aver attivato la funzionalità di integrità, la tabella dei dati SentinelHealth viene creata al primo evento di esito positivo o negativo generato per le regole di automazione e i playbook.

Informazioni sugli eventi di tabella SentinelHealth e SentinelAudit

Nella tabella SentinelHealth vengono registrati i tipi di eventi di integrità delle regole di analisi seguenti:

  • Esecuzione della regola di analisi pianificata.

  • Esecuzione della regola di analisi NRT.

    Per altre informazioni, vedere Schema delle colonne della tabella SentinelHealth.

Nella tabella SentinelAudit vengono registrati i tipi di eventi di controllo delle regole di analisi seguenti:

  • Creare o aggiornare la regola di analisi.

  • Regola di analisi eliminata.

    Per altre informazioni, vedere Schema delle colonne della tabella SentinelAudit.

Eseguire query per rilevare problemi di integrità e integrità

Per ottenere risultati ottimali, è consigliabile compilare le query sulle funzioni predefinite in queste tabelle, _SentinelHealth() e _SentinelAudit() anziché eseguire query direttamente sulle tabelle. Queste funzioni garantiscono la manutenzione della compatibilità con le versioni precedenti delle query in caso di modifiche apportate allo schema delle tabelle stesse.

Come primo passaggio, le query devono filtrare le tabelle per i dati correlati alle regole di analisi. Usare il SentinelResourceType parametro .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se si vuole, è possibile filtrare ulteriormente l'elenco per un particolare tipo di regola di analisi. Usare il SentinelResourceKind parametro per questo.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Ecco alcune query di esempio che consentono di iniziare:

  • Trovare regole che non sono state eseguite correttamente:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Trovare le regole che sono state "disabilitate automaticamente":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Contare le regole e le esecuzione riuscite o non riuscite, per motivo:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Trovare l'attività di eliminazione delle regole:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Trovare l'attività sulle regole in base al nome della regola e al nome dell'attività:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Trovare l'attività sulle regole, in base al nome del chiamante (identità che ha eseguito l'attività):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Stati, errori e passaggi suggeriti

Per l'esecuzione della regola di analisi pianificata o per l'esecuzione di regole di analisi NRT, è possibile che vengano visualizzati uno dei seguenti stati e descrizioni:

  • Operazione riuscita: la regola viene eseguita correttamente, generando <n> avvisi.

  • Operazione riuscita: la regola è stata eseguita correttamente, ma non ha raggiunto la soglia (<n>) necessaria per generare un avviso.

  • Errore: queste sono le descrizioni possibili per l'errore della regola e le operazioni che è possibile eseguire su di esse.

    Descrizione Correzione
    Si è verificato un errore interno del server durante l'esecuzione della query.
    Timeout dell'esecuzione della query.
    Impossibile trovare una tabella a cui si fa riferimento nella query. Verificare che l'origine dati pertinente sia connessa.
    Si è verificato un errore semantico durante l'esecuzione della query. Provare a reimpostare la regola di analisi modificandola e salvandola (senza modificare alcuna impostazione).
    Una funzione chiamata dalla query viene denominata con una parola riservata. Rimuovere o rinominare la funzione.
    Si è verificato un errore di sintassi durante l'esecuzione della query. Provare a reimpostare la regola di analisi modificandola e salvandola (senza modificare alcuna impostazione).
    L'area di lavoro non esiste.
    Questa query è stata trovata per usare troppe risorse di sistema ed è stata impedita l'esecuzione. Esaminare e ottimizzare la regola di analisi. Consultare la documentazione Linguaggio di query Kusto panoramica e procedure consigliate.
    Impossibile trovare una funzione chiamata dalla query. Verificare l'esistenza nell'area di lavoro di tutte le funzioni chiamate dalla query.
    L'area di lavoro usata nella query non è stata trovata. Verificare che tutte le aree di lavoro nella query esistano.
    Non si dispone delle autorizzazioni necessarie per eseguire questa query. Provare a reimpostare la regola di analisi modificandola e salvandola (senza modificare alcuna impostazione).
    Non si dispone delle autorizzazioni di accesso a una o più risorse nella query.
    La query ha fatto riferimento a un percorso di archiviazione non trovato.
    La query è stata negata l'accesso a un percorso di archiviazione.
    In questa area di lavoro sono definite più funzioni con lo stesso nome. Rimuovere o rinominare la funzione ridondante e reimpostare la regola modificandola e salvandola.
    La query non ha restituito alcun risultato.
    Non sono consentiti più set di risultati in questa query.
    I risultati della query contengono un numero incoerente di campi per riga.
    L'esecuzione della regola è stata ritardata a causa di lunghi tempi di inserimento dei dati.
    L'esecuzione della regola è stata ritardata a causa di problemi temporanei.
    L'avviso non è stato arricchito a causa di problemi temporanei.
    L'avviso non è stato arricchito a causa di problemi di mapping delle entità.
    <numero> entità sono state eliminate nel nome> dell'avviso <a causa del limite di dimensioni degli avvisi di 32 KB.
    <numero> entità sono state eliminate nel nome> dell'avviso <a causa di problemi di mapping delle entità.
    La query ha generato <eventi numerici>, che superano il limite massimo consentito> <per <le regole del tipo> di regola con configurazione di raggruppamento di eventi di avviso per riga. L'avviso per riga è stato generato per i primi <eventi limit-1> e è stato generato un avviso aggregato aggiuntivo per tenere conto di tutti gli eventi.
    - <number> = numero di eventi restituiti dalla query
    - <limite> = attualmente 150 avvisi per le regole pianificate, 30 per le regole NRT
    - <tipo di> regola = Pianificato o NRT

Usare la cartella di lavoro di controllo e monitoraggio dell'integrità

  1. Per rendere disponibile la cartella di lavoro nell'area di lavoro, è necessario installare la soluzione della cartella di lavoro dall'hub del contenuto di Microsoft Sentinel:

    1. Nel portale di Microsoft Sentinel selezionare Hub contenuto (anteprima) dal menu Gestione contenuto.

    2. Nell'hub contenuto immettere integrità nella barra di ricerca e selezionare Integrità e controllo di analisi tra le soluzioni della cartella di lavoro in Autonomo nei risultati.

      Screenshot della selezione della cartella di lavoro di integrità dell'analisi dall'hub del contenuto.

    3. Selezionare Installa nel riquadro dei dettagli e quindi selezionare Salva visualizzato sul posto.

  2. Quando la soluzione indica che è installata, selezionare Cartelle di lavoro dal menu Gestione delle minacce.

    Screenshot dell'indicazione che la soluzione della cartella di lavoro di integrità dell'analisi è installata dall'hub del contenuto.

  3. Nella raccolta Cartelle di lavoro selezionare la scheda Modelli, immettere integrità nella barra di ricerca e selezionare Integrità e controllo di analisi tra i risultati.

    Screenshot della selezione della cartella di lavoro di integrità dell'analisi dalla raccolta modelli.

  4. Selezionare Salva nel riquadro dei dettagli per creare una copia modificabile e utilizzabile della cartella di lavoro. Quando viene creata la copia, selezionare Visualizza cartella di lavoro salvata.

  5. Una volta nella cartella di lavoro, selezionare prima di tutto la sottoscrizione e l'area di lavoro da visualizzare (potrebbero essere già selezionate), quindi definire TimeRange per filtrare i dati in base alle proprie esigenze. Utilizzare l'interruttore Mostra guida per visualizzare la spiegazione sul posto della cartella di lavoro.

    Screenshot della scheda panoramica della cartella di lavoro sull'integrità delle regole di analisi.

In questa cartella di lavoro sono presenti tre sezioni a schede:

Scheda Panoramica

La scheda Panoramica mostra i riepiloghi di integrità e controllo:

  • Riepiloghi dell'integrità dello stato delle regole di analisi eseguite nell'area di lavoro selezionata: numero di esecuzioni, operazioni riuscite ed errori e dettagli degli eventi di errore.
  • Riepiloghi di controllo delle attività sulle regole di analisi nell'area di lavoro selezionata: numero di attività nel tempo, numero di attività per tipo e numero di attività di tipi diversi per regola.

Scheda Integrità

La scheda Integrità consente di eseguire il drill-down di eventi di integrità specifici.

Screenshot della selezione della scheda integrità nella cartella di lavoro integrità dell'analisi.

  • Filtrare i dati dell'intera pagina in base allo stato (esito positivo/negativo) e al tipo di regola (pianificato/NRT).
  • Visualizzare le tendenze delle esecuzioni delle regole riuscite e/o non riuscite (a seconda del filtro di stato) nel periodo di tempo selezionato. È possibile "pennello temporale" il grafico di tendenza per visualizzare un subset dell'intervallo di tempo originale. Screenshot dell'esecuzione della regola di analisi nel tempo nella cartella di lavoro di integrità dell'analisi.
  • Filtrare il resto della pagina in base al motivo.
  • Vedere il numero totale di esecuzioni per tutte le regole di analisi, visualizzate proporzionalmente in base allo stato in un grafico a torta.
  • Di seguito è riportata una tabella che mostra il numero di regole di analisi univoche eseguite, suddivise per tipo di regola e stato.
    • Selezionare uno stato per filtrare i grafici rimanenti per tale stato.
    • Cancellare il filtro selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot del numero di regole eseguite per stato e tipo nella cartella di lavoro di integrità dell'analisi.
  • Vedere ogni stato, con il numero di possibili motivi per tale stato. Verranno visualizzati solo i motivi rappresentati nelle esecuzioni nell'intervallo di tempo selezionato.
    • Selezionare uno stato per filtrare i grafici rimanenti per tale stato.
    • Cancellare il filtro selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot del numero di motivi univoci in base allo stato nella cartella di lavoro di integrità dell'analisi.
  • Vedere quindi un elenco di questi motivi, con il numero di esecuzioni totali delle regole combinate e il numero di regole univoco eseguite.
    • Selezionare un motivo per filtrare i grafici seguenti per tale motivo.
    • Cancellare il filtro selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot dell'esecuzione della regola in base al motivo univoco nella cartella di lavoro di integrità dell'analisi.
  • Successivamente, si tratta di un elenco delle regole di analisi univoche eseguite, con i risultati e le linee di tendenza più recenti dell'esito positivo e/o negativo (a seconda dello stato selezionato per filtrare l'elenco).
    • Selezionare una regola per eseguire il drill-down e visualizzare una nuova tabella con tutte le sequenze di tale regola (nell'intervallo di tempo selezionato).
    • Cancellare la tabella selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot dell'elenco di regole univoche eseguite, con stato e linee di tendenza, nella cartella di lavoro di integrità dell'analisi.
  • Se è stata selezionata una regola nell'elenco precedente, verrà visualizzata una nuova tabella con i dettagli sull'integrità per la regola selezionata. Screenshot dell'elenco delle esecuzioni della regola di analisi selezionata, nella cartella di lavoro di integrità dell'analisi.

Scheda Controllo

La scheda Controllo consente di eseguire il drill-down di eventi di controllo specifici.

Screenshot della selezione della scheda di controllo nella cartella di lavoro dell'integrità dell'analisi.

  • Filtrare i dati dell'intera pagina in base al tipo di regola di controllo (pianificato/Fusion).
  • Vedere le tendenze delle attività controllate sulle regole di analisi nel periodo di tempo selezionato. È possibile "pennello temporale" il grafico di tendenza per visualizzare un subset dell'intervallo di tempo originale. Screenshot dell'attività di controllo di tendenza nella cartella di lavoro sull'integrità dell'analisi.
  • Vedere i numeri di eventi controllati, suddivisi per attività e tipo di regola.
    • Selezionare un'attività per filtrare i grafici seguenti per l'attività.
    • Cancellare il filtro selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot dei conteggi degli eventi di controllo per attività e tipo nella cartella di lavoro di integrità dell'analisi.
  • Vedere il numero di eventi controllati in base al nome della regola.
    • Selezionare un nome di regola per filtrare la tabella seguente per tale regola e per eseguire il drill-down e visualizzare una nuova tabella con tutte le attività in tale regola (nell'intervallo di tempo selezionato). Vedere dopo lo screenshot seguente.
    • Cancellare il filtro selezionando l'icona "Cancella selezione" (è simile a un'icona "Annulla") nell'angolo superiore destro del grafico. Screenshot degli eventi controllati in base al nome della regola e al chiamante nella cartella di lavoro di integrità dell'analisi.
  • Vedere il numero di eventi controllati dal chiamante (l'identità che ha eseguito l'attività).
  • Se è stato selezionato un nome di regola nel grafico illustrato sopra, verrà visualizzata un'altra tabella che mostra le attività controllate in tale regola. Selezionare il valore visualizzato come collegamento nella colonna ExtendedProperties per aprire un pannello laterale che visualizza le modifiche apportate alla regola. Screenshot dell'attività di controllo per la regola selezionata nella cartella di lavoro di integrità dell'analisi.

Passaggi successivi