Controle en statuscontrole in Microsoft Sentinel

Artikel
05/22/2024

Microsoft Sentinel is een essentiële service voor het bevorderen en beschermen van de beveiliging van de technologische en informatieassets van uw organisatie, dus u wilt er zeker van zijn dat deze altijd soepel en zonder interferentie verloopt.

U wilt controleren of de vele bewegende onderdelen van de service altijd naar behoren functioneren en niet worden gemanipuleerd door onbevoegde acties, ongeacht of dit door interne gebruikers of anderszins gebeurt. U kunt ook meldingen van statusdrifts of niet-geautoriseerde acties configureren die worden verzonden naar relevante belanghebbenden die een antwoord kunnen beantwoorden of goedkeuren. U kunt bijvoorbeeld voorwaarden instellen voor het activeren van het verzenden van e-mailberichten of Microsoft Teams-berichten naar operationele teams, managers of agenten, het starten van nieuwe tickets in uw ticketsysteem, enzovoort.

In dit artikel wordt beschreven hoe u met de statuscontrole- en controlefuncties van Microsoft Sentinel de activiteit van enkele van de belangrijkste resources van de service kunt controleren en logboeken van gebruikersacties in de service kunt controleren.

Status- en controlegegevensopslag

Status- en controlegegevens worden verzameld in twee tabellen in uw Log Analytics-werkruimte: SentinelHealth en SentinelAudit

Controlegegevens worden verzameld in de tabel SentinelAudit .

Statusgegevens worden verzameld in de tabel SentinelHealth , waarmee gebeurtenissen worden vastgelegd die worden vastgelegd telkens wanneer een automatiseringsregel wordt uitgevoerd en de eindresultaten van deze uitvoeringen. De tabel SentinelHealth bevat:

Of acties die in de regel worden gestart, slagen of mislukken, en de playbooks die door de regel worden aangeroepen.
Gebeurtenissen die de on-demand (handmatige of API-gebaseerde) triggering van playbooks vastleggen, inclusief de identiteiten die ze hebben geactiveerd, en de eindresultaten van deze uitvoeringen

De tabel SentinelHealth bevat geen record van de uitvoering van de inhoud van een playbook, alleen of het playbook is gestart. Een logboek van de acties die worden uitgevoerd in een playbook, dat Logic Apps-werkstromen zijn, worden vermeld in de tabel AzureDiagnostics . De AzureDiagnostics biedt u een volledig beeld van uw automatiseringsstatus wanneer deze wordt gebruikt in combinatie met de SentinelHealth-gegevens .

De meest voorkomende manier waarop u deze gegevens gaat gebruiken, is door een query uit te voeren op deze tabellen. Voor de beste resultaten bouwt u uw query's op de vooraf gebouwde functies in deze tabellen, _SentinelHealth() en _SentinelAudit(), in plaats van rechtstreeks een query uit te voeren op de tabellen. Deze functies zorgen voor het onderhoud van de compatibiliteit met eerdere versies van uw query's in het geval van wijzigingen in het schema van de tabellen zelf.

Belangrijk

De gegevenstabellen SentinelHealth en SentinelAudit zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Vragen voor het controleren van de servicestatus en controlegegevens

Gebruik de volgende vragen om de bewaking van de status- en controlegegevens van Microsoft Sentinel te begeleiden:

Wordt de gegevensconnector correct uitgevoerd?

Ontvangt de gegevensconnector gegevens? Als u bijvoorbeeld Microsoft Sentinel hebt geïnstrueerd om elke vijf minuten een query uit te voeren, wilt u controleren of die query wordt uitgevoerd, hoe deze wordt uitgevoerd en of er risico's of beveiligingsproblemen zijn met betrekking tot de query.

Is er een automatiseringsregel uitgevoerd zoals verwacht?

Is uw automatiseringsregel uitgevoerd toen deze moest worden uitgevoerd, dat wil zeggen, wanneer aan de voorwaarden werd voldaan? Zijn alle acties in de automatiseringsregel uitgevoerd?

Is een analyseregel uitgevoerd zoals verwacht?

Is uw analyseregel uitgevoerd toen deze moest worden uitgevoerd en heeft deze resultaten gegenereerd? Als u verwacht bepaalde incidenten in uw wachtrij te zien, maar u niet, wilt u weten of de regel is uitgevoerd, maar niets (of genoeg dingen) heeft gevonden of helemaal niet is uitgevoerd.

Zijn er niet-geautoriseerde wijzigingen aangebracht in een analyseregel?

Is er iets veranderd in de regel? U hebt de verwachte resultaten niet opgehaald uit uw analyseregel en er zijn geen statusproblemen. U wilt zien of er niet-geplande wijzigingen zijn aangebracht in de regel en als dat het geval is, welke wijzigingen zijn aangebracht, door wie, van waar en wanneer.

Status- en controlestroom

Als u status- en controlegegevens wilt gaan verzamelen, moet u status- en controlecontrole inschakelen in de Instellingen van Microsoft Sentinel. Vervolgens kunt u de status- en controlegegevens bekijken die door Microsoft Sentinel worden verzameld:

Voer query's uit op de gegevenstabellen SentinelHealth en SentinelAudit vanuit de blade Microsoft Sentinel-logboeken.
- Gegevensconnectors
- Automatiseringsregels en playbooks (joinquery met diagnostische gegevens van Azure Logic Apps)
- Analyseregels
Gebruik de werkmappen voor controle en statuscontrole in Microsoft Sentinel.
Gebruik de hulpprogramma's voor uitvoeringsbeheer van Microsoft Sentinel om de uitvoering van geplande analyseregels te bewaken en te optimaliseren.
Exporteer de gegevens naar verschillende bestemmingen, zoals uw Log Analytics-werkruimte, archivering naar een opslagaccount en meer. Meer informatie over de ondersteunde bestemmingen voor uw logboeken .

Volgende stappen

Schakel controle en statuscontrole in microsoft Sentinel in.
Controleer de status van uw automatiseringsregels en playbooks.
Controleer de status van uw gegevensconnectors.
Controleer de status en integriteit van uw analyseregels.
Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit.

Zie ook:

Gebruikt u de Microsoft Sentinel-oplossing voor SAP? Controleer ook de status .

Delen via