Controle en statuscontrole inschakelen voor Microsoft Sentinel (preview)
Controleer de status en controleer de integriteit van ondersteunde Microsoft Sentinel-resources door de functie controle en statuscontrole in te schakelen op de pagina Instellingen van Microsoft Sentinel. Krijg inzicht in statusdrift, zoals de meest recente foutgebeurtenissen of wijzigingen van geslaagde statussen tot mislukte acties, en gebruik deze informatie om meldingen en andere geautomatiseerde acties te maken.
Als u statusgegevens wilt ophalen uit de gegevenstabel SentinelHealth of als u controlegegevens wilt ophalen uit de gegevenstabel SentinelAudit , moet u eerst de functie Voor controle en statuscontrole van Microsoft Sentinel inschakelen voor uw werkruimte.
In dit artikel wordt uitgelegd hoe u deze functies kunt inschakelen.
Als u de status- en controlefunctie wilt implementeren met behulp van API (Bicep/ARM/REST), controleert u de bewerkingen voor diagnostische instellingen.
Zie Gegevensretentie- en archiefbeleid configureren in Azure Monitor-logboeken om de bewaartijd voor uw audit- en statusgebeurtenissen te configureren.
Belangrijk
De gegevenstabellen SentinelHealth en SentinelAudit zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Gegevenstabellen en resourcetypen
Wanneer de functie is ingeschakeld, worden de gegevenstabellen SentinelHealth en SentinelAudit gemaakt bij de eerste gebeurtenis die wordt gegenereerd voor de geselecteerde resources.
De volgende resourcetypen worden momenteel ondersteund voor statuscontrole:
- Analyseregels (nieuw!)
- Gegevensconnectors
- Automatiseringsregels
- Playbooks (Azure Logic Apps-werkstromen)
Notitie
Wanneer u de playbookstatus bewaakt, moet u ook diagnostische gebeurtenissen van Azure Logic Apps verzamelen uit uw playbooks om de volledige afbeelding van uw playbookactiviteit te krijgen. Zie De status van uw automatiseringsregels en playbooks bewaken voor meer informatie.
Alleen het resourcetype analyseregel wordt momenteel ondersteund voor controle.
Controle en statuscontrole inschakelen voor uw werkruimte
Selecteer Instellingen in Microsoft Sentinel in het menu Configuratie aan de linkerkant.
Selecteer Instellingen in de banner.
Schuif omlaag naar de sectie Controle en statuscontrole die hieronder wordt weergegeven en selecteer deze om uit te vouwen.
Selecteer Inschakelen om controle en statuscontrole in te schakelen voor alle resourcetypen en om de controle- en bewakingsgegevens te verzenden naar uw Microsoft Sentinel-werkruimte (en nergens anders).
Of selecteer de koppeling Diagnostische instellingen configureren om statuscontrole alleen in te schakelen voor de gegevensverzamelaar en/of automatiseringsresources, of om geavanceerde opties te configureren, zoals extra plaatsen om de gegevens te verzenden.
Als u Inschakelen hebt geselecteerd, wordt de knop grijs weergegeven en gewijzigd in Inschakelen... en vervolgens Ingeschakeld. Op dat moment is controle en statuscontrole ingeschakeld en bent u klaar. De juiste diagnostische instellingen zijn achter de schermen toegevoegd en u kunt ze bekijken en bewerken door de koppeling Diagnostische instellingen configureren te selecteren.
Als u diagnostische instellingen configureren hebt geselecteerd, selecteert u in het scherm Diagnostische instellingen de optie + Diagnostische instelling toevoegen.
(Als u een bestaande instelling bewerkt, selecteert u deze in de lijst met diagnostische instellingen.)
Voer in het veld Naam van diagnostische instelling een betekenisvolle naam in voor uw instelling.
Selecteer in de kolom Logboeken de juiste categorieën voor de resourcetypen die u wilt bewaken, bijvoorbeeld Gegevensverzameling - Connectors. Selecteer allLogs als u analyseregels wilt bewaken.
Selecteer onder Doeldetails de optie Verzenden naar Log Analytics-werkruimte en selecteer uw abonnements - en Log Analytics-werkruimte in de vervolgkeuzelijsten.
Als u dat nodig hebt, kunt u andere bestemmingen selecteren waarnaar u uw gegevens wilt verzenden, naast de Log Analytics-werkruimte.
Selecteer Opslaan op de bovenste banner om uw nieuwe instelling op te slaan.
De gegevenstabellen SentinelHealth en SentinelAudit worden gemaakt bij de eerste gebeurtenis die is gegenereerd voor de geselecteerde resources.
Controleer of de tabellen gegevens ontvangen
Voer op de pagina Microsoft Sentinel-logboeken een query uit op de tabel SentinelHealth. Voorbeeld:
_SentinelHealth()
| take 20
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor