Udostępnij za pośrednictwem

Monitorowanie kondycji i inspekcja integralności reguł analizy

  • Artykuł

Aby zapewnić kompleksowe, nieprzerwane i wolne od manipulacji wykrywanie zagrożeń w usłudze Microsoft Sentinel, należy śledzić kondycję i integralność reguł analitycznych i zachować ich optymalne działanie, monitorując szczegółowe informacje dotyczące wykonywania, wykonując zapytania dotyczące kondycji i dzienników inspekcji oraz korzystając z ręcznego ponownego uruchamiania w celu testowania i optymalizowania reguł.

Skonfiguruj powiadomienia o kondycji i zdarzeniach inspekcji dla odpowiednich uczestników projektu, którzy mogą następnie podjąć działania. Na przykład zdefiniuj i wyślij wiadomości e-mail lub microsoft Teams, utwórz nowe bilety w systemie obsługi biletów itd.

W tym artykule opisano sposób używania funkcji inspekcji i monitorowania kondycji usługi Microsoft Sentinel w celu śledzenia kondycji i integralności reguł analizy z poziomu usługi Microsoft Sentinel.

Aby uzyskać informacje na temat szczegółowych informacji o regułach i ręcznego ponownego uruchamiania reguł, zobacz Monitorowanie i optymalizowanie wykonywania zaplanowanych reguł analizy.

Ważne

Tabele danych SentinelHealth i SentinelAudit są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Podsumowanie

  • Dzienniki kondycji reguł analizy usługi Microsoft Sentinel:

    • Ten dziennik przechwytuje zdarzenia, które rejestrują uruchomione reguły analizy oraz wynik końcowy tych uruchomień — jeśli zakończyły się powodzeniem lub niepowodzeniem, a także przyczyną niepowodzenia.
    • Dziennik rejestruje również dla każdego uruchomienia reguły analizy:
      • Ile zdarzeń zostało przechwyconych przez zapytanie reguły.
      • Określa, czy liczba zdarzeń przekroczyła próg zdefiniowany w regule, powodując wyzwolenie alertu przez regułę.

    Te dzienniki są zbierane w tabeli SentinelHealth w usłudze Log Analytics.

  • Dzienniki inspekcji reguł analizy usługi Microsoft Sentinel:

    • Ten dziennik przechwytuje zdarzenia rejestrujące zmiany wprowadzone w dowolnej regule analizy, w tym następujące szczegóły:
      • Nazwa zmienionej reguły.
      • Które właściwości reguły zostały zmienione.
      • Stan ustawień reguły przed i po zmianie.
      • Użytkownik lub tożsamość, która dokonała zmiany.
      • Źródłowy adres IP i data/godzina zmiany.
      • ... i nie tylko.

    Te dzienniki są zbierane w tabeli SentinelAudit w usłudze Log Analytics.

Korzystanie z tabel danych SentinelHealth i SentinelAudit (wersja zapoznawcza)

Aby uzyskać dane dotyczące inspekcji i kondycji z tabel opisanych powyżej, należy najpierw włączyć funkcję kondycji usługi Microsoft Sentinel dla obszaru roboczego. Aby uzyskać więcej informacji, zobacz Włączanie inspekcji i monitorowania kondycji dla usługi Microsoft Sentinel.

Po włączeniu funkcji kondycji tabela danych SentinelHealth jest tworzona przy pierwszym zdarzeniu powodzenia lub niepowodzenia generowanym dla reguł automatyzacji i podręczników.

Opis zdarzeń tabeli SentinelHealth i SentinelAudit

Następujące typy zdarzeń kondycji reguły analizy są rejestrowane w tabeli SentinelHealth :

  • Uruchamianie reguły zaplanowanej analizy.

  • Uruchamianie reguły analizy NRT.

    Aby uzyskać więcej informacji, zobacz Schemat kolumn tabeli SentinelHealth.

Następujące typy zdarzeń inspekcji reguł analizy są rejestrowane w tabeli SentinelAudit :

  • Tworzenie lub aktualizowanie reguły analizy.

  • Usunięto regułę analizy.

    Aby uzyskać więcej informacji, zobacz Schemat kolumn tabeli SentinelAudit.

Uruchamianie zapytań w celu wykrywania problemów z kondycją i integralnością

Aby uzyskać najlepsze wyniki, należy utworzyć zapytania dotyczące wstępnie utworzonych funkcji w tych tabelach, _SentinelHealth() i _SentinelAudit(), zamiast wykonywać zapytania bezpośrednio w tabelach. Te funkcje zapewniają zgodność z poprzednimi wersjami zapytań w przypadku wprowadzania zmian w schemacie samych tabel.

W pierwszym kroku zapytania powinny filtrować tabele pod kątem danych związanych z regułami analizy. Użyj parametru SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Jeśli chcesz, możesz dalej filtrować listę dla określonego rodzaju reguły analizy. Użyj parametru SentinelResourceKind w tym celu.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Oto kilka przykładowych zapytań, które ułatwiają rozpoczęcie pracy:

  • Znajdź reguły, które nie zostały pomyślnie uruchomione:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Znajdź reguły, które zostały "automatycznie wyłączone":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Zlicz reguły i uruchomienia, które zakończyły się powodzeniem lub niepowodzeniem, z przyczyn:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Działanie znajdowania usuwania reguł:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Znajdź działanie dotyczące reguł według nazwy reguły i nazwy działania:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Znajdź działanie w regułach według nazwy wywołującego (tożsamości, która wykonała działanie):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Stany, błędy i sugerowane kroki

W przypadku uruchomienia reguły zaplanowanej analizy lub uruchomienia reguły analizy NRT może zostać wyświetlony dowolny z następujących stanów i opisów:

  • Powodzenie: reguła została wykonana pomyślnie, generując <n> alerty.

  • Powodzenie: Reguła została wykonana pomyślnie, ale nie osiągnęła progu (<n>) wymaganego do wygenerowania alertu.

  • Niepowodzenie: są to możliwe opisy niepowodzenia reguły i czynności, które można z nimi zrobić.

    opis Korekty
    Wystąpił wewnętrzny błąd serwera podczas uruchamiania zapytania.
    Upłynął limit czasu wykonywania zapytania.
    Nie można odnaleźć tabeli, do którego odwołuje się kwerenda. Sprawdź, czy odpowiednie źródło danych jest połączone.
    Podczas uruchamiania zapytania wystąpił błąd semantyczny. Spróbuj zresetować regułę analizy, edytując ją i zapisując (bez zmiany ustawień).
    Funkcja wywoływana przez zapytanie ma nazwę z zastrzeżonym słowem. Usuń lub zmień nazwę funkcji.
    Wystąpił błąd składni podczas uruchamiania zapytania. Spróbuj zresetować regułę analizy, edytując ją i zapisując (bez zmiany ustawień).
    Obszar roboczy nie istnieje.
    Ta kwerenda została znaleziona, aby użyć zbyt wielu zasobów systemowych i nie można było jej uruchomić. Przejrzyj i dostosuj regułę analizy. Zapoznaj się z naszą dokumentacją język zapytań Kusto omówieniem i najlepszymi rozwiązaniami.
    Nie można odnaleźć funkcji wywoływanej przez zapytanie. Sprawdź istnienie w obszarze roboczym wszystkich funkcji wywoływanych przez zapytanie.
    Nie można odnaleźć obszaru roboczego używanego w zapytaniu. Sprawdź, czy wszystkie obszary robocze w zapytaniu istnieją.
    Nie masz uprawnień do uruchamiania tego zapytania. Spróbuj zresetować regułę analizy, edytując ją i zapisując (bez zmiany ustawień).
    Nie masz uprawnień dostępu do co najmniej jednego zasobu w zapytaniu.
    Zapytanie odwołuje się do ścieżki magazynu, która nie została znaleziona.
    Kwerenda nie miała dostępu do ścieżki magazynu.
    W tym obszarze roboczym zdefiniowano wiele funkcji o tej samej nazwie. Usuń lub zmień nazwę funkcji nadmiarowej i zresetuj regułę, edytując ją i zapisując.
    To zapytanie nie zwróciło żadnego wyniku.
    Wiele zestawów wyników w tym zapytaniu jest niedozwolonych.
    Wyniki zapytania zawierają niespójną liczbę pól na wiersz.
    Uruchomienie reguły zostało opóźnione z powodu długich czasów pozyskiwania danych.
    Uruchomienie reguły zostało opóźnione z powodu tymczasowych problemów.
    Alert nie został wzbogacony z powodu tymczasowych problemów.
    Alert nie został wzbogacony z powodu problemów z mapowaniem jednostek.
    <liczba> jednostek została porzucona w nazwie> alertu <z powodu limitu rozmiaru alertu o rozmiarze 32 KB.
    <jednostki liczbowe> zostały porzucone w nazwie> alertu <z powodu problemów z mapowaniem jednostek.
    Zapytanie spowodowało <liczbę> zdarzeń, które przekraczają maksymalną dozwoloną liczbę wyników limitu>< dla <reguł typów> reguł z konfiguracją grupowania zdarzeń alertu na wiersz. Alert na wiersz został wygenerowany dla zdarzeń pierwszego <limitu 1> , a dla wszystkich zdarzeń wygenerowano dodatkowy zagregowany alert.
    - <number> = liczba zdarzeń zwracanych przez zapytanie
    - <limit> = obecnie 150 alertów dla zaplanowanych reguł, 30 dla reguł NRT
    - <typ> reguły = Zaplanowane lub NRT

Używanie skoroszytu inspekcji i monitorowania kondycji

  1. Aby udostępnić skoroszyt w obszarze roboczym, należy zainstalować rozwiązanie skoroszytu z centrum zawartości usługi Microsoft Sentinel:

    1. W portalu usługi Microsoft Sentinel wybierz pozycję Centrum zawartości (wersja zapoznawcza) z menu Zarządzanie zawartością .

    2. W centrum zawartości wprowadź kondycję na pasku wyszukiwania, a następnie wybierz pozycję Analiza kondycji i inspekcji spośród rozwiązań skoroszytu w obszarze Autonomiczna w wynikach.

      Zrzut ekranu przedstawiający wybór skoroszytu kondycji analizy z centrum zawartości.

    3. Wybierz pozycję Zainstaluj w okienku szczegółów, a następnie wybierz pozycję Zapisz , która zostanie wyświetlona w jego miejscu.

  2. Gdy rozwiązanie wskazuje, że jest zainstalowane, wybierz pozycję Skoroszyty z menu Zarządzanie zagrożeniami .

    Zrzut ekranu przedstawiający wskazanie, że rozwiązanie skoroszytu kondycji analizy jest zainstalowane z centrum zawartości.

  3. W galerii Skoroszyty wybierz kartę Szablony, wprowadź kondycję na pasku wyszukiwania, a następnie wybierz pozycję Kondycja i inspekcja analizy spośród wyników.

    Zrzut ekranu przedstawiający wybieranie skoroszytu kondycji analizy z galerii szablonów.

  4. Wybierz pozycję Zapisz w okienku szczegółów, aby utworzyć edytowalną i użyteczną kopię skoroszytu. Po utworzeniu kopii wybierz pozycję Wyświetl zapisany skoroszyt.

  5. Po przejściu do skoroszytu najpierw wybierz subskrypcję i obszar roboczy , który chcesz wyświetlić (może już zostać wybrany), a następnie zdefiniuj element TimeRange , aby filtrować dane zgodnie z potrzebami. Użyj przełącznika Pokaż pomoc , aby wyświetlić wyjaśnienie w miejscu skoroszytu.

    Zrzut ekranu przedstawiający kartę przeglądu skoroszytu kondycji reguły analizy.

W tym skoroszycie znajdują się trzy sekcje z kartami:

Karta Przegląd

Karta Przegląd zawiera podsumowania kondycji i inspekcji:

  • Podsumowania kondycji stanu reguły analizy są uruchamiane w wybranym obszarze roboczym: liczba przebiegów, sukcesów i niepowodzeń oraz szczegóły zdarzenia niepowodzenia.
  • Przeprowadź inspekcję podsumowań działań dotyczących reguł analizy w wybranym obszarze roboczym: liczba działań w czasie, liczba działań według typu i liczba działań różnych typów według reguły.

Karta Kondycja

Karta Kondycja umożliwia przechodzenie do szczegółów określonych zdarzeń kondycji.

Zrzut ekranu przedstawiający wybór karty kondycji w skoroszycie kondycji analizy.

  • Przefiltruj dane całej strony według stanu (powodzenie/niepowodzenie) i typ reguły (scheduled/NRT).
  • Zobacz trendy pomyślnych i/lub zakończonych niepowodzeniem przebiegów reguł (w zależności od filtru stanu) w wybranym okresie. Wykres trendu można "szczotki czasowej", aby wyświetlić podzbiór oryginalnego zakresu czasu. Zrzut ekranu przedstawiający przebiegi reguły analizy w czasie w skoroszycie kondycji analizy.
  • Odfiltruj resztę strony według przyczyny.
  • Zobacz łączną liczbę przebiegów dla wszystkich reguł analizy wyświetlanych proporcjonalnie według stanu na wykresie kołowym.
  • Poniżej znajduje się tabela przedstawiająca liczbę unikatowych reguł analizy, które zostały uruchomione, podzielone według typu reguły i stanu.
    • Wybierz stan, aby filtrować pozostałe wykresy dla tego stanu.
    • Wyczyść filtr, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający liczbę reguł uruchamianych według stanu i typ w skoroszycie kondycji analizy.
  • Zobacz każdy stan z liczbą możliwych przyczyn tego stanu. (Zostaną wyświetlone tylko przyczyny przedstawione w przebiegach w wybranym przedziale czasu).
    • Wybierz stan, aby filtrować pozostałe wykresy dla tego stanu.
    • Wyczyść filtr, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający liczbę unikatowych przyczyn według stanu w skoroszycie kondycji analizy.
  • Następnie zapoznaj się z listą tych przyczyn z łączną liczbą przebiegów reguły i liczbą unikatowych reguł, które zostały uruchomione.
    • Wybierz przyczynę filtrowania następujących wykresów z tego powodu.
    • Wyczyść filtr, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający uruchomienia reguły według unikatowego powodu w skoroszycie kondycji analizy.
  • Następnie jest to lista unikatowych reguł analizy, które zostały uruchomione, z najnowszymi wynikami i liniami trendów ich powodzenia i/lub niepowodzenia (w zależności od stanu wybranego do filtrowania listy).
    • Wybierz regułę, aby przejść do szczegółów i wyświetlić nową tabelę ze wszystkimi uruchomieniami tej reguły (w wybranym przedziale czasu).
    • Wyczyść tę tabelę, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający listę uruchamianych unikatowych reguł ze stanem i liniami trendu w skoroszycie kondycji analizy.
  • Jeśli na powyższej liście wybrano regułę, zostanie wyświetlona nowa tabela ze szczegółami kondycji dla wybranej reguły. Zrzut ekranu przedstawiający listę przebiegów wybranej reguły analizy w skoroszycie kondycji analizy.

Karta Inspekcja

Karta Inspekcja umożliwia przechodzenie do szczegółów określonych zdarzeń inspekcji.

Zrzut ekranu przedstawiający wybór karty inspekcji w skoroszycie kondycji analizy.

  • Filtruj dane całej strony według typu reguły inspekcji (zaplanowane/fusion).
  • Zobacz trendy inspekcji działań dotyczących reguł analizy w wybranym okresie. Wykres trendu można "szczotki czasowej", aby wyświetlić podzbiór oryginalnego zakresu czasu. Zrzut ekranu przedstawiający popularne działanie inspekcji w skoroszycie kondycji analizy.
  • Zobacz liczbę zdarzeń inspekcji podzielonych według działania i typu reguły.
    • Wybierz działanie, aby filtrować następujące wykresy dla tego działania.
    • Wyczyść filtr, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający liczbę zdarzeń inspekcji według aktywności i typu w skoroszycie kondycji analizy.
  • Zobacz liczbę zdarzeń inspekcji według nazwy reguły.
    • Wybierz nazwę reguły, aby przefiltrować poniższą tabelę dla tej reguły, a następnie przejść do szczegółów i wyświetlić nową tabelę ze wszystkimi działaniami w tej regule (w wybranym przedziale czasu). (Zobacz po poniższym zrzucie ekranu).
    • Wyczyść filtr, wybierając ikonę "Wyczyść zaznaczenie" (wygląda jak ikona "Cofnij" w prawym górnym rogu wykresu. Zrzut ekranu przedstawiający zdarzenia inspekcji według nazwy reguły i obiektu wywołującego w skoroszycie kondycji analizy.
  • Zobacz liczbę zdarzeń inspekcji według obiektu wywołującego (tożsamość, która wykonała działanie).
  • Jeśli na powyższym wykresie wybrano nazwę reguły, zostanie wyświetlona inna tabela przedstawiająca działania poddane inspekcji dla tej reguły. Wybierz wartość wyświetlaną jako link w kolumnie ExtendedProperties, aby otworzyć panel boczny wyświetlający zmiany wprowadzone w regule. Zrzut ekranu przedstawiający działanie inspekcji dla wybranej reguły w skoroszycie kondycji analizy.

Następne kroki