Inspekcja i monitorowanie kondycji w usłudze Microsoft Sentinel
Microsoft Sentinel to krytyczna usługa umożliwiająca rozwijanie i ochronę bezpieczeństwa zasobów technologicznych i informacyjnych organizacji, dlatego chcesz mieć pewność, że zawsze działa płynnie i bez ingerencji.
Chcesz sprawdzić, czy wiele ruchomych części usługi zawsze działa zgodnie z oczekiwaniami i nie jest manipulowane przez nieautoryzowane akcje, niezależnie od tego, czy są to użytkownicy wewnętrzni, czy w inny sposób. Możesz również skonfigurować powiadomienia o dryfach kondycji lub nieautoryzowanych działaniach, które mają być wysyłane do odpowiednich uczestników projektu, którzy mogą odpowiedzieć lub zatwierdzić odpowiedź. Możesz na przykład ustawić warunki wyzwalania wysyłania wiadomości e-mail lub wiadomości usługi Microsoft Teams do zespołów operacyjnych, menedżerów lub oficerów, uruchamiać nowe bilety w systemie obsługi biletów itd.
W tym artykule opisano, jak funkcje monitorowania kondycji i inspekcji usługi Microsoft Sentinel umożliwiają monitorowanie aktywności niektórych kluczowych zasobów usługi i inspekcję dzienników akcji użytkownika w usłudze.
Kondycja i inspekcja magazynu danych
Dane dotyczące kondycji i inspekcji są zbierane w dwóch tabelach w obszarze roboczym usługi Log Analytics: SentinelHealth i SentinelAudit
Dane inspekcji są zbierane w tabeli SentinelAudit .
Dane dotyczące kondycji są zbierane w tabeli SentinelHealth , która przechwytuje zdarzenia rejestrowane za każdym razem, gdy reguła automatyzacji jest uruchamiana i wyniki końcowe tych przebiegów. Tabela SentinelHealth zawiera następujące elementy:
- Czy akcje uruchamiane w regule kończą się powodzeniem, czy niepowodzeniem, oraz podręcznikami wywołanymi przez regułę.
- Zdarzenia, które rejestrują wyzwalanie podręczników na żądanie (ręczne lub oparte na interfejsie API), w tym tożsamości, które je wyzwoliły, oraz wyniki końcowe tych przebiegów
Tabela SentinelHealth nie zawiera rekordu wykonania zawartości podręcznika, tylko tego, czy podręcznik został uruchomiony pomyślnie. Dziennik akcji wykonywanych w podręczniku, które są przepływami pracy usługi Logic Apps, są wymienione w tabeli AzureDiagnostics . Usługa AzureDiagnostics udostępnia pełny obraz kondycji automatyzacji w połączeniu z danymi usługi SentinelHealth .
Najczęstszym sposobem korzystania z tych danych jest wykonywanie zapytań względem tych tabel. Aby uzyskać najlepsze wyniki, skompiluj zapytania dotyczące wstępnie utworzonych funkcji w tych tabelach, _SentinelHealth() i _SentinelAudit(), zamiast wykonywać zapytania bezpośrednio w tabelach. Te funkcje zapewniają zgodność z poprzednimi wersjami zapytań w przypadku wprowadzania zmian w schemacie samych tabel.
Tabela SentinelHealth nie jest rozliczana i nie powoduje naliczania opłat za pozyskiwanie danych dotyczących kondycji. Tabela SentinelAudit jest rozliczana, podobnie jak w innych obszarach usługi Microsoft Sentinel, koszty poniesione zależą od woluminu dziennika, co może mieć wpływ na liczbę działań i zmian wprowadzonych w powiązanych regułach. Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.
Ważne
Tabele danych SentinelHealth i SentinelAudit są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Pytania dotyczące weryfikowania kondycji usługi i danych inspekcji
Skorzystaj z następujących pytań, aby kierować monitorowaniem danych dotyczących kondycji i inspekcji usługi Microsoft Sentinel:
Czy łącznik danych działa poprawnie?
Czy łącznik danych odbiera dane? Jeśli na przykład poinstruujesz usługę Microsoft Sentinel, aby uruchamiała zapytanie co 5 minut, chcesz sprawdzić, czy to zapytanie jest wykonywane, jak działa, oraz czy istnieją jakiekolwiek zagrożenia lub luki w zabezpieczeniach związane z zapytaniem.
Czy reguła automatyzacji została uruchomiona zgodnie z oczekiwaniami?
Czy reguła automatyzacji została uruchomiona, gdy miała być — to znaczy, kiedy zostały spełnione jej warunki? Czy wszystkie akcje reguły automatyzacji zostały pomyślnie uruchomione?
Czy reguła analizy została uruchomiona zgodnie z oczekiwaniami?
Czy reguła analizy została uruchomiona, gdy miała, i czy wygenerowała wyniki? Jeśli spodziewasz się zobaczyć określone zdarzenia w kolejce, ale nie, chcesz wiedzieć, czy reguła została uruchomiona, ale nie znalazła żadnych (lub wystarczających rzeczy), czy w ogóle nie została uruchomiona.
Czy wprowadzono nieautoryzowane zmiany w regule analizy?
Czy coś się zmieniło w regule? Nie otrzymano oczekiwanych wyników z reguły analizy i nie wystąpiły żadne problemy z kondycją. Chcesz sprawdzić, czy jakiekolwiek nieplanowane zmiany zostały wprowadzone w regule, a jeśli tak, jakie zmiany zostały wprowadzone, przez kogo, skąd i kiedy.
Przepływ monitorowania kondycji i inspekcji
Aby rozpocząć zbieranie danych dotyczących kondycji i inspekcji, należy włączyć monitorowanie kondycji i inspekcji w ustawieniach usługi Microsoft Sentinel. Następnie możesz zapoznać się z danymi dotyczącymi kondycji i inspekcji zbieranych przez usługę Microsoft Sentinel:
| Działanie | Więcej informacji |
|---|---|
| Uruchamiaj zapytania w tabelach danych SentinelHealth i SentinelAudit ze strony Dzienniki usługi Microsoft Sentinel. | |
| Użyj skoroszytów inspekcji i monitorowania kondycji dostępnych w usłudze Microsoft Sentinel. | |
| Używanie narzędzi do zarządzania wykonywaniem usługi Microsoft Sentinel w celu monitorowania i optymalizowania wykonywania zaplanowanych reguł analizy | |
| Wyeksportuj dane do różnych miejsc docelowych, takich jak obszar roboczy usługi Log Analytics, archiwizowanie na koncie magazynu i nie tylko. |
Powiązana zawartość
- Włączanie inspekcji i monitorowania kondycji w usłudze Microsoft Sentinel
- Monitorowanie kondycji reguł automatyzacji i podręczników
- Monitorowanie kondycji łączników danych
- Monitorowanie kondycji i integralności reguł analizy
- Monitorowanie kondycji systemu SAP
- Schematy tabel SentinelHealth i SentinelAudit.