Включение аудита и мониторинга работоспособности для Microsoft Sentinel (предварительная версия)
Отслеживайте работоспособность и проверяйте целостность поддерживаемых ресурсов Microsoft Sentinel, включив функцию аудита и мониторинга работоспособности на странице параметров Microsoft Sentinel. Получайте аналитические сведения о смещениях работоспособности, таких как последние события сбоя или изменения от состояния успешного к сбою, а также о несанкционированных действиях, и используйте эти сведения для создания уведомлений и других автоматических действий.
Чтобы получить данные о работоспособности из таблицы данных SentinelHealth или данные аудита из таблицы данных SentinelAudit , необходимо сначала включить функцию аудита и мониторинга работоспособности Microsoft Sentinel для рабочей области.
В этой статье содержатся инструкции по включению этих функций.
Чтобы реализовать функцию работоспособности и аудита с помощью API (Bicep/ARM/REST), ознакомьтесь с операциями параметров диагностики.
Сведения о настройке времени хранения для событий аудита и работоспособности см. в статье Настройка политик хранения данных и архивации в журналах Azure Monitor.
Важно!
Таблицы данных SentinelHealth и SentinelAudit в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Таблицы данных и типы ресурсов
Если эта функция включена, таблицы данных SentinelHealth и SentinelAudit создаются при первом событии, созданном для выбранных ресурсов.
В настоящее время для мониторинга работоспособности поддерживаются следующие типы ресурсов:
- Правила аналитики (новые!)
- Соединители данных
- Правила автоматизации
- Сборники схем (рабочие процессы Azure Logic Apps)
Примечание
При мониторинге работоспособности сборника схем вам также потребуется собирать диагностические события Azure Logic Apps из сборников схем, чтобы получить полную картину активности сборника схем. Дополнительные сведения см. в статье Мониторинг работоспособности правил автоматизации и сборников схем .
В настоящее время для аудита поддерживается только тип ресурса правила аналитики.
Включение аудита и мониторинга работоспособности для рабочей области
В Microsoft Sentinel в меню Конфигурация слева выберите Параметры.
Выберите Параметры в баннере.
Прокрутите вниз до раздела Аудит и мониторинг работоспособности , который отображается ниже, и выберите его, чтобы развернуть.
Выберите Включить , чтобы включить аудит и мониторинг работоспособности для всех типов ресурсов, а также отправить данные аудита и мониторинга в рабочую область Microsoft Sentinel (и нигде больше).
Или щелкните ссылку Настройка параметров диагностики , чтобы включить мониторинг работоспособности только для ресурсов сборщика данных и (или) автоматизации, или настроить дополнительные параметры, например дополнительные места для отправки данных.
Если вы выбрали Включить, кнопка будет неактивной и изменится на Пункт Включение... и Включено. На этом этапе аудит и мониторинг работоспособности включены, и все готово! Соответствующие параметры диагностики были добавлены в фоновом режиме, и их можно просмотреть и изменить, щелкнув ссылку Настройка параметров диагностики .
Если вы выбрали Настроить параметры диагностики, на экране Параметры диагностики выберите + Добавить параметр диагностики.
(Если вы изменяете существующий параметр, выберите его из списка параметров диагностики.)
В поле Имя параметра диагностики введите понятное имя для параметра.
В столбце Журналы выберите соответствующие категории для типов ресурсов, которые требуется отслеживать, например Коллекция данных — соединители. Выберите allLogs, чтобы отслеживать правила аналитики.
В разделе Сведения о назначении выберите Отправить в рабочую область Log Analytics, а затем выберите подписку и рабочую область Log Analytics в раскрывающихся меню.
При необходимости вы можете выбрать другие назначения, в которые будут отправляться данные, в дополнение к рабочей области Log Analytics.
Выберите Сохранить на верхнем баннере, чтобы сохранить новый параметр.
Таблицы данных SentinelHealth и SentinelAudit создаются при первом событии, созданном для выбранных ресурсов.
Убедитесь, что таблицы получают данные
На странице Журналы Microsoft Sentinel выполните запрос к таблице SentinelHealth. Пример:
_SentinelHealth()
| take 20
Дальнейшие действия
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Мониторинг работоспособности и целостности правил аналитики.
- См. дополнительные сведения о схемах таблиц SentinelHealth и SentinelAudit .
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по