Ativar a auditoria e o monitoramento de integridade para o Microsoft Sentinel (versão prévia)

Monitore a integridade e faça auditoria da integridade dos recursos compatíveis do Microsoft Sentinel ativando o recurso de auditoria e monitoramento de integridade na página Configurações do Microsoft Sentinel. Obtenha insights sobre descompassos de integridade, como os eventos de falha mais recentes ou alterações de estado de êxito para falha, e sobre ações não autorizadas. Use essas informações para criar notificações e outras ações automatizadas.

Para obter dados de integridade da tabela de dados SentinelHealth ou as informações de auditoria da tabela de dados SentinelAudit, primeiro você precisa ativar o recurso de auditoria e monitoramento de integridade do Microsoft Sentinel para seu workspace.

Este artigo explica como ativar esses recursos.

Para implementar o recurso de integridade e auditoria usando a API (Bicep/ARM/REST), examine as operações de Configurações de Diagnóstico.

Para configurar o tempo de retenção para seus eventos de auditoria e integridade, confira Configurar políticas de retenção de dados e arquivamento nos Logs do Azure Monitor.

Importante

As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Tabelas de dados e tipos de recursos

Quando o recurso é ativado, as tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.

No momento, há suporte para os seguintes tipos de recurso para monitoramento de integridade:

• Regras de análise (novo!)
• Conectores de dados
• Regras de automação
• Guias estratégicos (fluxos de trabalho dos Aplicativos Lógicos do Azure)

  Observação

  Ao monitorar a integridade do guia estratégico, você também precisará coletar eventos de diagnóstico dos Aplicativos Lógicos do Azure de seus guias estratégicos para obter a visão completa da atividade do guia estratégico. Confira Monitorar a integridade de suas regras de automação e guias estratégicos para obter mais informações.

Atualmente, há suporte apenas para o tipo de recurso de regra de análise para auditoria.

Ativar auditoria e monitoramento de integridade para o seu workspace

1. No Microsoft Sentinel, no menu Configuração à esquerda, selecione Configurações.

2. Selecione Configurações na faixa.

3. Role para baixo até a seção Auditoria e monitoramento de integridade que aparece abaixo e selecione-a para expandir.

4. Selecione Habilitar para habilitar a auditoria e o monitoramento de integridade em todos os tipos de recursos e enviar os dados de auditoria e monitoramento para o workspace do Microsoft Sentinel (e nenhum outro lugar).

   Ou selecione o link Definir configurações de diagnóstico para habilitar o monitoramento de integridade somente para o coletor de dados e/ou recursos de automação, ou para configurar opções avançadas, como locais adicionais para enviar os dados.

   

   Se você selecionou Habilitar, o botão ficará esmaecido e mudará para exibir Habilitando... e depois Habilitado. Nesse ponto, a auditoria e o monitoramento de integridade estão habilitados e você terminou. As configurações de diagnóstico apropriadas foram adicionadas nos bastidores, e você pode exibi-las e editá-las selecionando o link Definir configurações de diagnóstico.

5. Se você selecionou Definir configurações de diagnóstico, na tela Configurações de diagnóstico, selecione + Adicionar configuração de diagnóstico.

   Se você estiver editando uma configuração existente, selecione-a na lista de configurações de diagnóstico.

   • No campo Nome da configuração de diagnóstico, insira um nome significativo para sua configuração.

   • Na coluna Logs, selecione as Categorias apropriadas para os tipos de recursos que você deseja monitorar, por exemplo Coleta de Dados – Conectores. Selecione allLogs se desejar monitorar as regras de análise.

   • Nos Detalhes de destino, selecione Enviar para o workspace do Log Analytics e selecione a Assinatura e o Workspace do Log Analytics nos menus suspensos.

     

     Se você precisar, poderá selecionar outros destinos para os quais enviar seus dados, além do workspace do Log Analytics.

6. Selecione Salvar na faixa superior para salvar sua nova configuração.

As tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.

Verificar se as tabelas estão recebendo dados

Na página Logs do Microsoft Sentinel, execute uma consulta na tabela SentinelHealth. Por exemplo:

_SentinelHealth()
 | take 20

Próximas etapas

• Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras de automação e guias estratégicos.
• Monitore a integridade de seus conectores de dados.
• Monitore a integridade das suas regras de análise.
• Confira mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit.