Włączanie inspekcji i monitorowania kondycji dla usługi Microsoft Sentinel (wersja zapoznawcza)

Monitoruj kondycję i inspekcję integralności obsługiwanych zasobów usługi Microsoft Sentinel, włączając funkcję inspekcji i monitorowania kondycji na stronie Ustawienia usługi Microsoft Sentinel. Uzyskaj szczegółowe informacje na temat dryfów kondycji, takich jak najnowsze zdarzenia niepowodzenia lub zmiany z stanu powodzenia do stanu niepowodzenia oraz na nieautoryzowanych akcjach, a także użyj tych informacji do tworzenia powiadomień i innych akcji automatycznych.

Aby uzyskać dane dotyczące kondycji z tabeli danych SentinelHealth lub uzyskać informacje dotyczące inspekcji z tabeli danych SentinelAudit, należy najpierw włączyć funkcję inspekcji i monitorowania kondycji usługi Microsoft Sentinel dla obszaru roboczego. W tym artykule przedstawiono sposób włączania tych funkcji.

Aby zaimplementować funkcję kondycji i inspekcji przy użyciu interfejsu API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), zapoznaj się z operacjami ustawień diagnostycznych. Aby skonfigurować czas przechowywania zdarzeń inspekcji i kondycji, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.

Ważne

Tabele danych SentinelHealth i SentinelAudit są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

• Przed rozpoczęciem dowiedz się więcej na temat monitorowania kondycji i inspekcji w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji w usłudze Microsoft Sentinel.

Włączanie inspekcji i monitorowania kondycji dla obszaru roboczego

1. W usłudze Microsoft Sentinel w menu Konfiguracja po lewej stronie wybierz pozycję Ustawienia.

2. Wybierz pozycję Ustawienia na banerze.

3. Przewiń w dół do sekcji Inspekcja i monitorowanie kondycji i wybierz ją, aby rozwinąć.

4. Wybierz pozycję Włącz , aby włączyć monitorowanie inspekcji i kondycji we wszystkich typach zasobów oraz wysłać dane inspekcji i monitorowania do obszaru roboczego usługi Microsoft Sentinel (i nigdzie indziej).

   Możesz też wybrać link Konfiguruj ustawienia diagnostyczne, aby włączyć monitorowanie kondycji tylko dla zasobów modułu zbierającego dane i/lub automatyzacji, lub skonfigurować opcje zaawansowane, takie jak więcej miejsc do wysyłania danych.

   

   W przypadku wybrania opcji Włącz przycisk będzie wyszaryzowany i zmieni się, aby przeczytać Enableing... (Włączanie), a następnie pozycję Enabled (Włączone). W tym momencie włączono inspekcję i monitorowanie kondycji. Odpowiednie ustawienia diagnostyczne zostały dodane w tle i można je wyświetlić i edytować, wybierając link Konfiguruj ustawienia diagnostyczne.

5. Jeśli wybrano pozycję Konfiguruj ustawienia diagnostyczne, na ekranie Ustawienia diagnostyczne wybierz pozycję + Dodaj ustawienie diagnostyczne.

   (Jeśli edytujesz istniejące ustawienie, wybierz je z listy ustawień diagnostycznych).

   • W polu Nazwa ustawienia diagnostycznego wprowadź zrozumiałą nazwę ustawienia.

   • W kolumnie Dzienniki wybierz odpowiednie kategorie dla typów zasobów, które chcesz monitorować, na przykład Zbieranie danych — łączniki. Wybierz wszystkie Dzienniki , jeśli chcesz monitorować reguły analizy.

   • W obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wybierz obszar roboczy Subskrypcja i Usługa Log Analytics z menu rozwijanych.

     

     Jeśli potrzebujesz, możesz wybrać inne miejsca docelowe, do których mają być wysyłane dane, oprócz obszaru roboczego usługi Log Analytics.

6. Wybierz pozycję Zapisz na górnym banerze, aby zapisać nowe ustawienie.

Tabele danych SentinelHealth i SentinelAudit są tworzone w pierwszym zdarzeniu generowanym dla wybranych zasobów.

Sprawdź, czy tabele odbierają dane

Na stronie Dzienniki usługi Microsoft Sentinel uruchom zapytanie w tabeli SentinelHealth. Na przykład:

_SentinelHealth()
 | take 20

Obsługiwane tabele danych i typy zasobów

Po włączeniu tej funkcji tabele danych SentinelHealth i SentinelAudit są tworzone przy pierwszym zdarzeniu generowanym dla wybranych zasobów.

Monitorowanie kondycji usługi Microsoft Sentinel obsługuje obecnie następujące typy zasobów:

• Reguły analizy
• Łączniki danych
• Reguły automatyzacji
• Podręczniki (przepływy pracy usługi Azure Logic Apps)

Uwaga

Podczas monitorowania kondycji podręcznika pamiętaj, aby zebrać zdarzenia diagnostyczne usługi Azure Logic Apps z podręczników, aby uzyskać pełny obraz działania podręcznika. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji reguł automatyzacji i podręczników.

Tylko typ zasobu reguły analizy jest obecnie obsługiwany na potrzeby inspekcji.

Następne kroki

• Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
• Monitorowanie kondycji łączników danych.
• Monitoruj kondycję i integralność reguł analizy.