De status van uw automatiseringsregels en playbooks bewaken
Om de juiste werking en prestaties van uw beveiligingsindeling, automatisering en reactiebewerkingen in uw Microsoft Sentinel-service te garanderen, houdt u de status van uw automatiseringsregels en playbooks bij door hun uitvoeringslogboeken te bewaken.
Stel meldingen van statusevenementen in voor relevante belanghebbenden, die vervolgens actie kunnen ondernemen. U kunt bijvoorbeeld e-mail of Microsoft Teams-berichten definiëren en verzenden, nieuwe tickets maken in uw ticketsysteem, enzovoort.
In dit artikel wordt beschreven hoe u de statuscontrolefuncties van Microsoft Sentinel gebruikt om de status van uw automatiseringsregels en playbooks bij te houden vanuit Microsoft Sentinel. Zie Controle en statuscontrole in Microsoft Sentinel voor meer informatie.
De gegevenstabel SentinelHealth gebruiken (openbare preview)
Als u automatiseringsstatusgegevens wilt ophalen uit de gegevenstabel SentinelHealth , schakelt u eerst de microsoft Sentinel-statusfunctie voor uw werkruimte in. Zie Statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.
Zodra de statusfunctie is ingeschakeld, wordt de gegevenstabel SentinelHealth gemaakt bij de eerste geslaagde of mislukte gebeurtenis die is gegenereerd voor uw automatiseringsregels en playbooks.
Informatie over tabelgebeurtenissen in SentinelHealth
De volgende typen automatiseringsstatusgebeurtenissen worden vastgelegd in de tabel SentinelHealth :
Automatiseringsregel wordt uitgevoerd. Geregistreerd wanneer aan de voorwaarden van een automatiseringsregel wordt voldaan, waardoor deze wordt uitgevoerd. Naast de velden in de tabel SentinelHealth , bevatten deze gebeurtenissen uitgebreide eigenschappen die uniek zijn voor het uitvoeren van automatiseringsregels, waaronder een lijst met playbooks die door de regel worden aangeroepen. In de volgende voorbeeldquery worden deze gebeurtenissen weergegeven:
SentinelHealth | where OperationName == "Automation rule run"Playbook is geactiveerd. Geregistreerd wanneer een playbook handmatig vanuit de portal of via de API wordt geactiveerd op een incident. Naast de velden in de tabel SentinelHealth , bevatten deze gebeurtenissen uitgebreide eigenschappen die uniek zijn voor het handmatig activeren van playbooks. In de volgende voorbeeldquery worden deze gebeurtenissen weergegeven:
SentinelHealth | where OperationName == "Playbook was triggered"
Zie het schema voor kolommen in de SentinelHealth-tabel voor meer informatie.
Statussen, fouten en voorgestelde stappen
Voor de uitvoeringsstatus van de Automation-regel ziet u mogelijk de volgende statussen:
Geslaagd: de regel is uitgevoerd en activeert alle acties.
Gedeeltelijk geslaagd: de regel is ten minste één actie uitgevoerd en geactiveerd, maar sommige acties zijn mislukt.
Fout: automatiseringsregel heeft om een van de volgende redenen geen actie uitgevoerd:
- Evaluatie van voorwaarden is mislukt.
- Aan de voorwaarden is voldaan, maar de eerste actie is mislukt.
Voor de status van het Playbook is geactiveerd , ziet u mogelijk de volgende statussen:
Geslaagd: playbook is geactiveerd.
Fout: playbook kan niet worden geactiveerd.
Notitie
Succes betekent alleen dat de automatiseringsregel een playbook heeft geactiveerd. U ziet niet wanneer het playbook is gestart of beëindigd, de resultaten van de acties in het playbook of het uiteindelijke resultaat van het playbook.
Als u deze informatie wilt vinden, voert u een query uit op de diagnostische logboeken van Logic Apps. Zie Het volledige automatiseringsbeeld ophalen voor meer informatie.
Foutbeschrijvingen en voorgestelde acties
| Foutbeschrijving | Voorgestelde acties |
|---|---|
| Kan taak niet toevoegen: <TaskName>. Incident/waarschuwing is niet gevonden. |
Zorg ervoor dat het incident/de waarschuwing bestaat en probeer het opnieuw. |
| Eigenschap kan niet worden gewijzigd: PropertyName>.< Incident/waarschuwing is niet gevonden. |
Zorg ervoor dat het incident/de waarschuwing bestaat en probeer het opnieuw. |
| Eigenschap kan niet worden gewijzigd: PropertyName>.< Te veel aanvragen, die de beperkingslimieten overschrijden. |
|
| Kan playbook: <PlaybookName> niet activeren. Incident/waarschuwing is niet gevonden. |
Als de fout is opgetreden bij het activeren van een playbook op aanvraag, controleert u of het incident/de waarschuwing bestaat en probeert u het opnieuw. |
| Kan playbook: <PlaybookName> niet activeren. Het playbook is niet gevonden of Microsoft Sentinel miste machtigingen voor het playbook. |
Bewerk de automatiseringsregel, zoek en selecteer het playbook op de nieuwe locatie en sla deze op. Zorg ervoor dat Microsoft Sentinel gemachtigd is om dit playbook uit te voeren. |
| Kan playbook: <PlaybookName> niet activeren. Bevat een niet-ondersteund triggertype. |
Zorg ervoor dat uw playbook begint met de juiste Logic Apps-trigger: Microsoft Sentinel Incident of Microsoft Sentinel-waarschuwing. |
| Kan playbook: <PlaybookName> niet activeren. Het abonnement is uitgeschakeld en gemarkeerd als alleen-lezen. Playbooks in dit abonnement kunnen pas worden uitgevoerd als het abonnement opnieuw is ingeschakeld. |
Schakel het Azure-abonnement waarin het playbook zich bevindt opnieuw in. |
| Kan playbook: <PlaybookName> niet activeren. Het playbook is uitgeschakeld. |
Schakel uw playbook in, in Microsoft Sentinel op het tabblad Actieve playbooks onder Automation of op de resourcepagina van Logic Apps. |
| Kan playbook: <PlaybookName> niet activeren. Ongeldige sjabloondefinitie. |
Er is een fout opgetreden in de playbookdefinitie. Ga naar de ontwerper van Logic Apps om de problemen op te lossen en het playbook op te slaan. |
| Kan playbook: <PlaybookName> niet activeren. De configuratie van toegangsbeheer beperkt Microsoft Sentinel. |
Met Logic Apps-configuraties kunt u de toegang beperken om het playbook te activeren. Deze beperking is van kracht voor dit playbook. Verwijder deze beperking zodat Microsoft Sentinel niet wordt geblokkeerd. Meer informatie |
| Kan playbook: <PlaybookName> niet activeren. Microsoft Sentinel mist machtigingen om deze uit te voeren. |
Microsoft Sentinel vereist machtigingen om playbooks uit te voeren. |
| Kan playbook: <PlaybookName> niet activeren. Playbook is niet gemigreerd naar een nieuw machtigingsmodel. Verwijs Microsoft Sentinel-machtigingen om dit playbook uit te voeren en de regel opnieuw op teslaan. |
Verwijs Microsoft Sentinel-machtigingen om dit playbook uit te voeren en de regel opnieuw op teslaan. |
| Kan playbook: <PlaybookName> niet activeren. Te veel aanvragen, die de beperkingslimieten voor werkstromen overschrijden. |
Het aantal wachtende werkstroomuitvoeringen heeft de maximaal toegestane limiet overschreden. Verhoog de waarde van de gelijktijdigheidsconfiguratie van 'maximumWaitingRuns' de trigger. |
| Kan playbook: <PlaybookName> niet activeren. Te veel aanvragen, die de beperkingslimieten overschrijden. |
Meer informatie over abonnements- en tenantlimieten. |
| Kan playbook: <PlaybookName> niet activeren. Toegang was verboden. Er ontbreekt een configuratie of er is een Logic Apps-netwerkbeperking ingesteld. |
Als het playbook beheerde identiteit gebruikt, moet u ervoor zorgen dat de beheerde identiteit is toegewezen met machtigingen. Het playbook kan netwerkbeperkingsregels bevatten die verhinderen dat het wordt geactiveerd wanneer de Microsoft Sentinel-service wordt geblokkeerd. |
| Kan playbook: <PlaybookName> niet activeren. Het abonnement of de resourcegroep is vergrendeld. |
Verwijder de vergrendeling zodat Microsoft Sentinel playbooks in het vergrendelde bereik kan activeren. Meer informatie over vergrendelde resources. |
| Kan playbook: <PlaybookName> niet activeren. Aanroeper mist vereiste playbook-triggeringsmachtigingen voor playbook of Microsoft Sentinel mist er machtigingen voor. |
De gebruiker die het playbook op aanvraag probeert te activeren, ontbreekt de rol Logic Apps-inzender in het playbook of om het playbook te activeren. Meer informatie |
| Kan playbook: <PlaybookName> niet activeren. Ongeldige referenties in verbinding. |
Controleer de referenties die uw verbinding gebruikt in de API-verbindingsservice in Azure Portal. |
| Kan playbook: <PlaybookName> niet activeren. Arm-id van playbook is ongeldig. |
De volledige automatiseringsafbeelding ophalen
Met de statuscontroletabel van Microsoft Sentinel kunt u bijhouden wanneer playbooks worden geactiveerd, maar om te controleren wat er gebeurt in uw playbooks en hun resultaten wanneer ze worden uitgevoerd, moet u ook diagnostische gegevens inschakelen in Azure Logic Apps om de volgende gebeurtenissen op te nemen in de azureDiagnostics-tabel :
- {Action name} is gestart
- {Actienaam} is beëindigd
- Werkstroom (playbook) is gestart
- Werkstroom (playbook) beëindigd
Deze toegevoegde gebeurtenissen bieden extra inzicht in de acties die worden uitgevoerd in uw playbooks.
Diagnostische gegevens van Azure Logic Apps inschakelen
Voor elk playbook dat u wilt bewaken, schakelt u Log Analytics in voor uw logische app. Zorg ervoor dat u Verzenden naar Log Analytics-werkruimte selecteert als uw logboekbestemming en kies uw Microsoft Sentinel-werkruimte.
Microsoft Sentinel- en Azure Logic Apps-logboeken correleren
Nu u logboeken hebt voor uw automatiseringsregels en playbooks en logboeken voor uw afzonderlijke Logic Apps-werkstromen in uw werkruimte, kunt u deze correleren om het volledige beeld te krijgen. Bekijk de volgende voorbeeldquery:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
De werkmap voor statuscontrole gebruiken
Met de automation-statuswerkmap kunt u uw statusgegevens visualiseren, evenals de correlatie tussen de twee typen logboeken die we zojuist hebben genoemd. De werkmap bevat de volgende weergaven:
- Status en details van automatiseringsregel
- Status en details van playbooktrigger
- Playbook voert de status en details uit (vereist Azure Diagnostic ingeschakeld op playbookniveau)
- Automatiseringsgegevens per incident
Voorbeeld:
Selecteer het tabblad Playbooks die worden uitgevoerd door Automation-regels om playbookactiviteit weer te geven.
Selecteer een playbook om de lijst met uitvoeringen te bekijken in de onderstaande inzoomgrafiek.
Selecteer een bepaalde uitvoering om de resultaten van de acties in het playbook te bekijken.
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in microsoft Sentinel in.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit.