Delen via

De status bewaken en de integriteit van uw analyseregels controleren

Om uitgebreide, ononderbroken en manipulatievrije detectie van bedreigingen in uw Microsoft Sentinel-service te garanderen, houdt u de status en integriteit van uw analyseregels bij. Zorg ervoor dat ze optimaal functioneren door hun uitvoeringsinzichten te bewaken, door query's uit te voeren op de status- en auditlogboeken en door handmatig opnieuw uit te voeren om uw regels te testen en te optimaliseren.

Stel meldingen in van status- en controlegebeurtenissen voor relevante belanghebbenden, die vervolgens actie kunnen ondernemen. U kunt bijvoorbeeld e-mail of Microsoft Teams-berichten definiëren en verzenden, nieuwe tickets maken in uw ticketsysteem, enzovoort.

In dit artikel wordt beschreven hoe u de controle- en statuscontrolefuncties van Microsoft Sentinel gebruikt om de status en integriteit van uw analyseregels bij te houden vanuit Microsoft Sentinel.

Zie De uitvoering van uw geplande analyseregels bewaken en optimaliseren voor informatie over regelinzichten en het handmatig opnieuw uitvoeren van regels.

Samenvatting

  • Statuslogboeken van Microsoft Sentinel-analyseregels:

    • In dit logboek worden gebeurtenissen vastgelegd die de uitvoering van analyseregels vastleggen en het eindresultaat van deze uitvoeringen: als ze zijn geslaagd of mislukt en als ze zijn mislukt, waarom.
    • Het logboek registreert ook voor elke uitvoering van een analyseregel:
      • Hoeveel gebeurtenissen de query van de regel heeft vastgelegd.
      • Of het aantal gebeurtenissen de drempelwaarde heeft doorgegeven die is gedefinieerd in de regel, waardoor de regel een waarschuwing genereert.

    Deze logboeken worden verzameld in de tabel SentinelHealth in Log Analytics.

  • Auditlogboeken voor Microsoft Sentinel-analyseregels:

    • In dit logboek worden gebeurtenissen vastgelegd die wijzigingen vastleggen die zijn aangebracht in een analyseregel, met inbegrip van de volgende details:
      • De naam van de regel die is gewijzigd.
      • Welke eigenschappen van de regel zijn gewijzigd.
      • De status van de regelinstellingen vóór en na de wijziging.
      • De gebruiker of identiteit die de wijziging heeft aangebracht.
      • Het bron-IP-adres en de datum/tijd van de wijziging.
      • ...en meer.

    Deze logboeken worden verzameld in de tabel SentinelAudit in Log Analytics.

De gegevenstabellen SentinelHealth en SentinelAudit gebruiken

Als u controle- en statusgegevens wilt ophalen uit de tabellen die eerder zijn beschreven, moet u eerst de microsoft Sentinel-statusfunctie voor uw werkruimte inschakelen. Zie Controle en statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.

Zodra de statusfunctie is ingeschakeld, wordt de gegevenstabel SentinelHealth gemaakt bij de eerste geslaagde of mislukte gebeurtenis die is gegenereerd voor uw automatiseringsregels en playbooks.

Informatie over tabelgebeurtenissen van SentinelHealth en SentinelAudit

De tabel SentinelHealth registreert de volgende typen analyse regel gezondheidsgebeurtenissen:

  • Geplande analyseregel wordt uitgevoerd.
  • NRT-analyseregel wordt uitgevoerd.

Zie het schema voor kolommen in de SentinelHealth-tabel voor meer informatie.

De tabel SentinelAudit registreert de volgende typen controlegebeurtenissen voor analyseregels:

  • Analyseregel maken of bijwerken.
  • Analyseregel verwijderd.

Zie het schema van de sentinelAudit-tabelkolommen voor meer informatie.

Query's uitvoeren om problemen met de status en integriteit te detecteren

Voor de beste resultaten bouwt u uw query's op de vooraf gedefinieerde functies voor deze tabellen, _SentinelHealth() en _SentinelAudit(), in plaats van rechtstreeks een query uit te voeren op de tabellen. Deze functies behouden de compatibiliteit met eerdere query's als er wijzigingen worden aangebracht in het schema van de tabellen.

Als eerste stap filtert u de tabellen op gegevens met betrekking tot analyseregels. Gebruik de SentinelResourceType parameter.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Desgewenst kunt u de lijst verder filteren op een bepaald type analyseregel. Gebruik hiervoor de SentinelResourceKind parameter.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Hier volgen enkele voorbeeldquery's om u op weg te helpen:

  • Regels zoeken die 'autodisabled' zijn:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Tel de regels en uitvoeringen die zijn geslaagd of mislukt, om de volgende redenen:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Regelverwijderingsactiviteit zoeken:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Activiteit zoeken op regels, op regelnaam en activiteitsnaam:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Activiteit zoeken op regels, op naam van beller (de identiteit die de activiteit heeft uitgevoerd):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

Geplande regels

Wanneer een planningsregel mislukt, wordt het nog vijf keer geprobeerd in hetzelfde venster. De regel slaat het venster niet over en mist geen melding zolang een van de zes pogingen succesvol is.

Fout in een van de zes pogingen duidt op een vertraging in de waarschuwing die wordt geactiveerd. Met de volgende query wordt de exacte vertraging berekend:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Gebruik de volgende query om te zoeken naar volledige fouten (een venster dat is overgeslagen):

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Deze query zoekt naar geplande uitvoeringen van analyseregels waarbij geen van de zes herhaalde pogingen is geslaagd. U kunt een nieuwe poging identificeren door naar de begintijd van het venster van de regel te kijken, omdat de nieuwe pogingen altijd de oorspronkelijke begintijd bekijken. Deze query geeft u de hoeveelheid overgeslagen vensters voor elke analyseregel. We verwachten dat overgeslagen vensters zeldzaam zijn. Als u ziet dat u analyseregels met overgeslagen vensters hebt, gebruikt u de query's om inzicht te krijgen in de reden van de fout van deze specifieke regels en de tabel met oorzaken en oplossingen voor fouten om deze te verhelpen.

NRT-regels

Het herhalingsmechanisme voor NRT-regels gedraagt zich anders dan geprogrammeerde regels. Als een regel niet kan worden uitgevoerd, houdt het systeem ook rekening met het mislukte venster in de volgende uitvoering (één minuut later). Dit gedrag blijft bestaan uit maximaal 60 fouten (één uur).

Aangezien één fout van een specifieke uitvoering slechts één minuut vertraging weerspiegelt, moet u geen aandacht besteden aan individuele fouten. Gebruik in plaats daarvan de volgende query om de vertraging van elke analyseregel te bewaken:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

U kunt ook een analyseregel definiëren om waarschuwingen te activeren voor aanzienlijke vertragingen (bijvoorbeeld als een NRT-regel een vertraging van meer dan 10 minuten heeft).

Statussen, fouten en voorgestelde stappen

Voor uitvoering van geplande analyseregels of NRT-analyseregels ziet u mogelijk een van de volgende statussen en beschrijvingen:

  • Geslaagd: de regel is uitgevoerd en genereert <n> waarschuwingen.

  • Geslaagd: de regel is uitgevoerd, maar heeft niet de drempelwaarde (<n>) bereikt die is vereist om een waarschuwing te genereren.

  • Fout: In deze beschrijvingen worden regelsfouten uitgelegd en wat u eraan kunt doen.

    Beschrijving Herstel
    Er is een interne serverfout opgetreden tijdens het uitvoeren van de query.
    Er is een time-out opgetreden voor de uitvoering van de query.
    Er is geen tabel gevonden waarnaar in de query wordt verwezen. Controleer of de relevante gegevensbron is verbonden.
    Er is een semantische fout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    Een functie die door de query wordt aangeroepen, heeft een gereserveerd woord. Verwijder of wijzig de naam van de functie.
    Er is een syntaxisfout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    De werkruimte bestaat niet.
    Deze query maakt gebruik van te veel systeembronnen en is verhinderd om uit te voeren. Controleer en stem de analyseregel af. Raadpleeg onze documentatie over Kusto-querytaal overzicht en best practices.
    Er is geen functie gevonden die door de query is aangeroepen. Controleer het bestaan in uw werkruimte van alle functies die door de query worden aangeroepen.
    De werkruimte die in de query is gebruikt, is niet gevonden. Controleer of alle werkruimten in de query bestaan.
    U bent niet gemachtigd om deze query uit te voeren. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    U hebt geen toegangsmachtigingen voor een of meer van de resources in de query.
    De query heeft verwezen naar een opslagpad dat niet is gevonden.
    De query is de toegang tot een opslagpad geweigerd.
    In deze werkruimte worden meerdere functies met dezelfde naam gedefinieerd. Verwijder of wijzig de naam van de redundante functie en stel de regel opnieuw in door deze te bewerken en op te slaan.
    Deze query heeft geen resultaat geretourneerd.
    Meerdere resultatensets in deze query zijn niet toegestaan.
    Queryresultaten bevatten inconsistent aantal velden per rij.
    De uitvoering van de regel is vertraagd vanwege lange gegevensopnametijden.
    De uitvoering van de regel is vertraagd vanwege tijdelijke problemen.
    De waarschuwing is niet uitgebreid vanwege tijdelijke problemen.
    De waarschuwing werd niet verrijkt vanwege problemen met entiteitskoppeling.
    < aantal> entiteiten zijn verwijderd in de naam<vanwege de limiet van 32 kB-waarschuwingsgrootte.
    < aantal> entiteiten zijn verwijderd in de naam<vanwege problemen met entiteitstoewijzing.
    De query heeft geresulteerd in <getalgebeurtenissen> Waarschuwing per rij is gegenereerd voor eerste <gebeurtenissen van limiet 1> en er is een extra geaggregeerde waarschuwing gegenereerd om rekening te houden met alle gebeurtenissen.
    - <getal> = aantal gebeurtenissen dat door de query wordt geretourneerd
    - <limiet> = momenteel 150 waarschuwingen voor geplande regels, 30 voor NRT-regels
    - <regeltype> = Gepland of NRT

De werkmap controle en statuscontrole gebruiken

  1. Als u de werkmap beschikbaar wilt maken in uw werkruimte, installeert u de werkmapoplossing vanuit de Microsoft Sentinel-inhoudshub:

    1. Selecteer in de Microsoft Sentinel-portal inhoudshub (preview) in het menu Inhoudsbeheer .

    2. Voer in de inhoudshub de status in de zoekbalk in en selecteer Analytics Health & Audit in de werkmapoplossingen onder Zelfstandig in de resultaten.

      Schermopname van de selectie van de werkmap voor analysestatus van inhoudshub.

    3. Selecteer Installeren in het detailvenster en selecteer Opslaan dat op de plaats wordt weergegeven.

  2. Wanneer de oplossing aangeeft dat deze is geïnstalleerd, selecteert u Werkmappen in het menu Bedreigingsbeheer.

    Schermopname van de indicatie dat de oplossing voor analysestatuswerkmappen is geïnstalleerd vanuit de inhoudshub.

  3. Selecteer in de galerie Werkmappen het tabblad Sjablonen, voer de status in de zoekbalk in en selecteer Analytics Health & Audit in de resultaten.

    Schermopname van het selecteren van de werkmap voor de analysestatus in de sjabloongalerie.

  4. Selecteer Opslaan in het detailvenster om een bewerkbare en bruikbare kopie van de werkmap te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen workbook weergeven.

  5. Selecteer in de werkmap eerst het abonnement en de werkruimte die u wilt weergeven (deze zijn mogelijk al geselecteerd) en definieer vervolgens de TimeRange om de gegevens te filteren op basis van uw behoeften. Gebruik de wisselknop Help weergeven om in-place uitleg van de werkmap weer te geven.

    Schermopname van het tabblad Overzicht van de statuswerkmap voor analyseregels.

Deze werkmap heeft drie secties met tabbladen:

Tabblad Overzicht

Op het tabblad Overzicht worden status- en controleoverzichten weergegeven:

  • Statussamenvattingen van de status van analyseregels worden uitgevoerd in de geselecteerde werkruimte: aantal uitvoeringen, geslaagde en mislukte gebeurtenissen en details van foutevenementen.
  • Samenvattingen van activiteiten op analyseregels in de geselecteerde werkruimte controleren: aantal activiteiten in de loop van de tijd, aantal activiteiten per type en aantal activiteiten van verschillende typen per regel.

Tabblad Status

Op het tabblad Gezondheid kunt u specifieke gezondheidsevenementen verkennen.

Schermopname van de selectie van het tabblad Status in de werkmap Voor analysestatus.

  • Filter de hele paginagegevens op status (geslaagd of mislukt) en regeltype (gepland of NRT).
  • Bekijk de trends van geslaagde en mislukte regeluitvoeringen (afhankelijk van het statusfilter) gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven. Schermopname van de analyseregel wordt in de loop van de tijd uitgevoerd in de werkmap voor de analysestatus.
  • Filter de rest van de pagina op reden.
  • Bekijk het totale aantal uitvoeringen voor alle analyseregels, proportioneel weergegeven op status in een cirkeldiagram.
  • Hierna volgt een tabel met het aantal unieke analyseregels dat is uitgevoerd, onderverdeeld op regeltype en status.
    • Selecteer een status om de resterende grafieken voor die status te filteren.
    • Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van het aantal regels dat wordt uitgevoerd op status en typ de werkmap voor de analysestatus.
  • Bekijk elke status, met het aantal mogelijke redenen voor die status. (Alleen de redenen die in de uitvoeringen binnen het geselecteerde tijdsbestek worden weergegeven, zijn aangegeven.)
    • Selecteer een status om de resterende grafieken voor die status te filteren.
    • Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van het aantal unieke redenen op status in de werkmap voor de analysestatus.
  • Bekijk vervolgens een lijst met deze redenen, waarbij het aantal gecombineerde regeluitvoeringen en het aantal unieke regels dat is uitgevoerd.
    • Selecteer een reden om de volgende grafieken om die reden te filteren.
    • Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van regel wordt uitgevoerd op unieke reden in de werkmap voor de analysestatus.
  • Hierna volgt een lijst met de unieke analyseregels die zijn uitgevoerd, met de meest recente resultaten en trendlijnen van hun succes en mislukking (afhankelijk van de status die is geselecteerd om de lijst te filteren).
    • Selecteer een regel om in te zoomen en een nieuwe tabel weer te geven met alle uitvoeringen van die regel (in het geselecteerde tijdsbestek).
    • Wis deze tabel door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van de lijst met unieke regels die worden uitgevoerd, met status- en trendlijnen, in de werkmap voor de status van de analyse.
  • Als u een regel in de lijst selecteert, wordt er een nieuwe tabel weergegeven met de statusgegevens voor de geselecteerde regel. Schermopname van een lijst met uitvoeringen van de geselecteerde analyseregel, in de werkmap voor de analysestatus.

Tabblad Controle

Op het tabblad Audit kunt u inzoomen op bepaalde controlegebeurtenissen.

Schermopname van de selectie van het tabblad Controle in de werkmap voor de status van de analyse.

  • Filter de hele paginagegevens op type controleregel (gepland/Fusion).
  • Bekijk de trends van gecontroleerde activiteit op analyseregels gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven. Schermopname van trending auditactiviteit in de werkmap analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen, onderverdeeld op activiteit en regeltype.
    • Selecteer een activiteit om de volgende grafieken voor die activiteit te filteren.
    • Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van het aantal controlegebeurtenissen per activiteit en het type in de werkmap voor de analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen op regelnaam.
    • Selecteer een regelnaam om de volgende tabel voor die regel te filteren en om in te zoomen en een nieuwe tabel weer te geven met alle activiteiten op die regel (in het geselecteerde tijdsbestek). (Zie na de volgende schermopname.)
    • Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek. Schermopname van gecontroleerde gebeurtenissen op regelnaam en aanroeper in de werkmap voor analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen per beller (de identiteit die de activiteit heeft uitgevoerd).
  • Als u een regelnaam in de voorgaande grafiek hebt geselecteerd, wordt er een andere tabel weergegeven met de gecontroleerde activiteiten op die regel. Selecteer de waarde die wordt weergegeven als een koppeling in de kolom ExtendedProperties om een zijpaneel te openen waarin de wijzigingen in de regel worden weergegeven. Schermopname van controleactiviteit voor de geselecteerde regel in de werkmap voor de analysestatus.

Volgende stappen

  • Last updated on