Monitorare l'integrità dei connettori dati

• Si applica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Per garantire un inserimento dati completo e senza interruzioni nel servizio Microsoft Sentinel, tenere traccia dello stato, della connettività e delle prestazioni dei connettori dati.

Le funzionalità seguenti consentono di eseguire questo monitoraggio da Microsoft Sentinel:

• Cartella di lavoro di monitoraggio dell'integrità della raccolta dati: questa cartella di lavoro fornisce monitoraggi aggiuntivi, rileva anomalie e fornisce informazioni dettagliate sullo stato di inserimento dati dell'area di lavoro. È possibile usare la logica della cartella di lavoro per monitorare l'integrità generale dei dati inseriti e per creare visualizzazioni personalizzate e avvisi basati su regole.

• La tabella dati SentinelHealth(Anteprima): l'esecuzione di query in questa tabella fornisce informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti per ogni connettore o i connettori con modifiche da esito positivo a stati di errore, che è possibile usare per creare avvisi e altre azioni automatizzate. La tabella dei dati SentinelHealth è attualmente supportata solo per i connettori dati selezionati.

  Importante

  La tabella dei dati SentinelHealth è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

• Visualizzare l'integrità e lo stato dei sistemi SAP connessi: esaminare le informazioni sull'integrità dei sistemi SAP nel connettore dati SAP e usare un modello di regola di avviso per ottenere informazioni sull'integrità della raccolta dati dell'agente SAP.

Usare la cartella di lavoro di monitoraggio dell'integrità

Per iniziare, installare la cartella di lavoro Monitoraggio integrità raccolta dati dall'hub contenuto e visualizzare o creare una copia del modello dalla sezione Cartelle di lavoro di Microsoft Sentinel.

1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti, selezionare Hub dei contenuti.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

2. In Hub contenuti immettere integrità nella barra di ricerca e selezionare Monitoraggio integrità raccolta dati tra i risultati.

3. Selezionare Installa nel riquadro dei dettagli. Quando viene visualizzato un messaggio di notifica che indica che la cartella di lavoro è installata o se invece di Installa, viene visualizzata Configurazione, procedere con il passaggio successivo.

4. In Microsoft Sentinel, in Gestione delle minacce selezionare Cartelle di lavoro.

5. Nella pagina Cartelle di lavoro selezionare la scheda Modelli immettere integrità nella barra di ricerca e selezionare Monitoraggio integrità raccolta dati tra i risultati.

6. Selezionare Visualizza modello per usare la cartella di lavoro così com'è oppure selezionare Salva per crearne una copia modificabile. Quando viene creata la copia, selezionare Visualizza cartella di lavoro salvata.

7. Una volta nella cartella di lavoro, selezionare prima la sottoscrizione e l'area di lavoro da visualizzare, quindi definire TimeRange per filtrare i dati in base alle proprie esigenze. Utilizzare l'interruttore Mostra guida per visualizzare la spiegazione sul posto della cartella di lavoro.

   

In questa cartella di lavoro sono presenti tre sezioni a schede:

• La scheda Panoramica mostra lo stato generale dell'inserimento dati nell'area di lavoro selezionata: misure del volume, velocità EPS e ora dell'ultimo log ricevuto.

• La scheda Anomalie della raccolta dati consente di rilevare anomalie nel processo di raccolta dati, in base alla tabella e all'origine dati. Ogni scheda presenta anomalie per una determinata tabella (la scheda Generale include una raccolta di tabelle). Le anomalie vengono calcolate con la funzione series_decompose_anomalies() che restituisce un punteggio di anomalia. Altre informazioni su questa funzione. Impostare i parametri seguenti per la funzione da valutare:

  • AnomaliesTimeRange: questo selettore di data/ora si applica solo alla visualizzazione Anomalie della raccolta dati.

  • SampleInterval: l'intervallo di tempo specifico in cui i dati vengono campionati. Il punteggio di anomalia viene calcolato solo sui dati dell'ultimo intervallo.

  • PositiveAlertThreshold: questo valore definisce la soglia del punteggio anomalie positivo. Accetta valori decimali.

  • NegativeAlertThreshold: questo valore definisce la soglia del punteggio anomalie negativo. Accetta valori decimali.

    

• La scheda Informazioni agente mostra informazioni sull'integrità degli agenti installati nei vari computer, ad esempio macchina virtuale di Azure, altra macchina virtuale cloud, macchina virtuale locale o fisica. Monitorare la posizione del sistema, lo stato dell'heartbeat e la latenza, la memoria e lo spazio su disco disponibili e le operazioni dell'agente.

  In questa sezione è necessario selezionare la scheda che descrive l'ambiente dei computer: scegliere la scheda Computer gestiti da Azure se si desidera visualizzare solo i computer gestiti da Azure Arc. Scegliere la scheda Tutti i computer per visualizzare computer gestiti e non azure con l'agente di Monitoraggio di Azure installato.

  

Usare la tabella dati SentinelHealth (anteprima pubblica)

Per ottenere i dati di integrità del connettore dati dalla tabella dati SentinelHealth, è prima necessario attivare la funzionalità di integrità di Microsoft Sentinel per l'area di lavoro. Per altre informazioni, vedere Attivare il monitoraggio dell'integrità per Microsoft Sentinel.

Dopo aver attivato la funzionalità di integrità, la tabella dei dati SentinelHealth viene creata al primo evento di esito positivo o negativo generato per i connettori dati.

Connettori dati supportati

La tabella dei dati SentinelHealth è attualmente supportata solo per i connettori dati seguenti:

• Amazon Web Services (CloudTrail e S3)
• Dynamics 365
• Office 365
• Microsoft Defender per endpoint
• Threat Intelligence - TAXII
• Piattaforme di intelligence sulle minacce
• Qualsiasi connettore basato sulla piattaforma del connettore codeless

Informazioni sugli eventi della tabella SentinelHealth

Nella tabella SentinelHealth vengono registrati i tipi di eventi di integrità seguenti:

• Modifica dello stato di recupero dei dati. Registrato una volta all'ora, purché lo stato di un connettore dati rimanga stabile, con eventi di esito positivo o negativo continui. Se lo stato di un connettore dati non cambia, il monitoraggio funziona solo ogni ora per impedire il controllo ridondante e ridurre le dimensioni della tabella. Se lo stato del connettore dati presenta errori continui, nella colonna ExtendedProperties sono inclusi altri dettagli sugli errori.

  Se lo stato del connettore dati cambia, da un esito positivo a un errore, da un errore a un esito positivo o presenta modifiche nei motivi di errore, l'evento viene registrato immediatamente per consentire al team di intraprendere azioni proattive e immediate.

  Gli errori potenzialmente temporanei, ad esempio la limitazione del servizio di origine, vengono registrati solo dopo aver continuato per più di 60 minuti. Questi 60 minuti consentono a Microsoft Sentinel di risolvere un problema temporaneo nel back-end e di recuperare i dati, senza richiedere alcuna azione da parte dell'utente. Gli errori che non sono sicuramente temporanei vengono registrati immediatamente.

• Riepilogo errori. Registrato una volta all'ora, per connettore, per area di lavoro, con un riepilogo degli errori aggregati. Gli eventi di riepilogo degli errori vengono creati solo quando il connettore ha riscontrato errori di polling durante l'ora specificata. Contengono eventuali dettagli aggiuntivi forniti nella colonna ExtendedProperties, ad esempio il periodo di tempo per il quale è stata eseguita una query sulla piattaforma di origine del connettore e un elenco distinto di errori riscontrati durante il periodo di tempo.

Per altre informazioni, vedere Schema delle colonne della tabella SentinelHealth.

Eseguire query per rilevare le deviazioni di integrità

Creare query nella tabella SentinelHealth per rilevare le deviazioni di integrità nei connettori dati. Ad esempio:

Rilevare gli eventi di errore più recenti per connettore:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Rilevare i connettori con modifiche dallo stato di esito negativo a quello di esito positivo:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Rilevare i connettori con modifiche dallo stato di esito positivo a quello di esito negativo:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Configurare avvisi e azioni automatizzate per i problemi di integrità

Sebbene sia possibile usare le regole di analisi di Microsoft Sentinel per configurare l'automazione nei log di Microsoft Sentinel, se si vuole ricevere una notifica e intervenire immediatamente per le deviazioni di integrità nei connettori dati, è consigliabile usare le regole di avviso di Monitoraggio di Azure.

Ad esempio:

1. In una regola di avviso di Monitoraggio di Azure selezionare l'area di lavoro di Microsoft Sentinel come ambito della regola e Ricerca log personalizzata come prima condizione.

2. Personalizzare la logica di avviso in base alle esigenze, ad esempio la frequenza o la durata del lookback e quindi usare le query per cercare deviazioni di integrità.

3. Per le azioni della regola, selezionare un gruppo di azioni esistente o crearne uno nuovo in base alle esigenze per configurare le notifiche push o altre azioni automatizzate, ad esempio l'attivazione di un'app per la logica, un webhook o una funzione di Azure nel sistema.

Per altre informazioni, vedere Panoramica degli avvisi di Monitoraggio di Azure e log degli avvisi di Monitoraggio di Azure.

Passaggi successivi

• Informazioni sul controllo e il monitoraggio dello stato in Microsoft Sentinel.
• Attivare il controllo e il monitoraggio dello stato in Microsoft Sentinel.
• Monitorare l'integrità delle regole di automazione e dei playbook.
• Monitorare l'integrità delle regole di analisi.
• Vedere altre informazioni sugli schemi delle tabelle SentinelHealth e SentinelAudit.