Włączanie inspekcji i monitorowania kondycji dla usługi Microsoft Sentinel (wersja zapoznawcza)

Monitoruj kondycję i inspekcję integralności obsługiwanych zasobów usługi Microsoft Sentinel, włączając funkcję inspekcji i monitorowania kondycji na stronie Ustawienia usługi Microsoft Sentinel. Uzyskaj szczegółowe informacje na temat dryfów kondycji, takich jak najnowsze zdarzenia niepowodzenia lub zmiany stanu powodzenia do stanu niepowodzenia, oraz na nieautoryzowanych akcjach, a następnie użyj tych informacji do tworzenia powiadomień i innych akcji automatycznych.

Aby uzyskać dane dotyczące kondycji z tabeli danych SentinelHealth lub uzyskać informacje dotyczące inspekcji z tabeli danych SentinelAudit , musisz najpierw włączyć funkcję inspekcji i monitorowania kondycji usługi Microsoft Sentinel dla obszaru roboczego.

W tym artykule opisano sposób włączania tych funkcji.

Aby zaimplementować funkcję kondycji i inspekcji przy użyciu interfejsu API (Bicep/ARM/REST), zapoznaj się z operacjami ustawień diagnostycznych.

Aby skonfigurować czas przechowywania dla zdarzeń inspekcji i kondycji, zobacz Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.

Ważne

Tabele danych SentinelHealth i SentinelAudit są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Tabele danych i typy zasobów

Po włączeniu tej funkcji tabele danych SentinelHealth i SentinelAudit są tworzone przy pierwszym zdarzeniu generowanym dla wybranych zasobów.

Następujące typy zasobów są obecnie obsługiwane na potrzeby monitorowania kondycji:

• Reguły analizy (nowe!)
• Łączniki danych
• Reguły automatyzacji
• Podręczniki (przepływy pracy usługi Azure Logic Apps)

  Uwaga

  Podczas monitorowania kondycji podręcznika należy również zbierać zdarzenia diagnostyczne usługi Azure Logic Apps z podręczników, aby uzyskać pełny obraz działania podręcznika. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji reguł automatyzacji i podręczników .

Tylko typ zasobu reguły analizy jest obecnie obsługiwany na potrzeby inspekcji.

Włączanie inspekcji i monitorowania kondycji dla obszaru roboczego

1. W usłudze Microsoft Sentinel w menu Konfiguracja po lewej stronie wybierz pozycję Ustawienia.

2. Wybierz pozycję Ustawienia na banerze.

3. Przewiń w dół do sekcji Inspekcja i monitorowanie kondycji , która zostanie wyświetlona poniżej, i wybierz ją, aby rozwinąć.

4. Wybierz pozycję Włącz , aby włączyć monitorowanie inspekcji i kondycji we wszystkich typach zasobów oraz wysłać dane inspekcji i monitorowania do obszaru roboczego usługi Microsoft Sentinel (i nigdzie indziej).

   Możesz też wybrać link Konfiguruj ustawienia diagnostyczne , aby włączyć monitorowanie kondycji tylko dla zasobów modułu zbierającego dane i/lub automatyzacji, lub skonfigurować opcje zaawansowane, takie jak dodatkowe miejsca do wysyłania danych.

   

   W przypadku wybrania opcji Włącz przycisk będzie wyszaryzowany i zmieni się na wartość Enableing... (Włączanie... ), a następnie enabled (Włączone). W tym momencie włączono inspekcję i monitorowanie kondycji. Odpowiednie ustawienia diagnostyczne zostały dodane w tle i można je wyświetlać i edytować, wybierając link Konfiguruj ustawienia diagnostyczne .

5. Jeśli wybrano pozycję Konfiguruj ustawienia diagnostyczne, na ekranie Ustawienia diagnostyczne wybierz pozycję + Dodaj ustawienie diagnostyczne.

   (Jeśli edytujesz istniejące ustawienie, wybierz je z listy ustawień diagnostycznych).

   • W polu Nazwa ustawienia diagnostycznego wprowadź zrozumiałą nazwę ustawienia.

   • W kolumnie Dzienniki wybierz odpowiednie kategorie dla typów zasobów, które chcesz monitorować, na przykład Zbieranie danych — łączniki. Wybierz pozycję allLogs, jeśli chcesz monitorować reguły analizy.

   • W obszarze Szczegóły lokalizacji docelowej wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wybierz obszar roboczy Subskrypcja i Usługa Log Analytics z menu rozwijanych.

     

     Jeśli potrzebujesz, możesz wybrać inne miejsca docelowe, do których mają być wysyłane dane, oprócz obszaru roboczego usługi Log Analytics.

6. Wybierz pozycję Zapisz na górnym banerze, aby zapisać nowe ustawienie.

Tabele danych SentinelHealth i SentinelAudit są tworzone przy pierwszym zdarzeniu generowanym dla wybranych zasobów.

Sprawdź, czy tabele odbierają dane

Na stronie Dzienniki usługi Microsoft Sentinel uruchom zapytanie w tabeli SentinelHealth . Na przykład:

_SentinelHealth()
 | take 20

Następne kroki

• Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
• Monitorowanie kondycji reguł automatyzacji i podręczników.
• Monitorowanie kondycji łączników danych.
• Monitoruj kondycję i integralność reguł analizy.
• Zobacz więcej informacji na temat schematów tabel SentinelHealth i SentinelAudit .