Наблюдение за работоспособностью соединителей данных

Чтобы обеспечить полный и непрерывный прием данных в службе Microsoft Sentinel, следите за работоспособностью, подключением и производительностью соединителей данных.

Следующие функции позволяют выполнять этот мониторинг из Microsoft Sentinel:

• Книга мониторинга работоспособности сбора данных. Эта книга предоставляет дополнительные мониторы, обнаруживает аномалии и дает представление о состоянии приема данных рабочей области. Логику книги можно использовать для наблюдения за общей работоспособностью принимаемых данных, а также для создания пользовательских представлений и оповещений на основе правил.

• Таблица данных SentinelHealth (предварительная версия): запрос этой таблицы предоставляет аналитические сведения о смещениях работоспособности, таких как последние события сбоя на соединитель или соединители с изменениями состояния успешности и состояниями сбоя, которые можно использовать для создания оповещений и других автоматических действий. Таблица данных SentinelHealth в настоящее время поддерживается только для выбранных соединителей данных.

  Важно!

  Таблица данных SentinelHealth в настоящее время предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

• Просмотрите работоспособность и состояние подключенных систем SAP: просмотрите сведения о работоспособности систем SAP в соединителе данных SAP и используйте шаблон правила генерации оповещений для получения сведений о работоспособности сбора данных агента SAP.

Использование книги наблюдения за работоспособностью системы

1. На портале Microsoft Sentinel выберите центр контента из раздела управления содержимым в меню навигации.

2. В центре содержимого введите работоспособности в строке поиска и выберите мониторинг работоспособности сбора данных из результатов.

3. Выберите " Установить" в области сведений. Когда появится уведомление о том, что книга установлена, или если вместо установки вы увидите конфигурацию, перейдите к следующему шагу.

4. Выберите книги из раздела "Управление угрозами" в меню навигации.

5. На странице книг выберите вкладку "Шаблоны", введите работоспособности в строке поиска и выберите мониторинг работоспособности сбора данных из числа результатов.

6. Выберите Просмотр шаблона, чтобы использовать книгу как есть, или выберите Сохранить, чтобы создать редактируемую копию книги. После создания копии выберите Просмотр сохраненной книги.

7. В книге сначала выберите подписку и рабочую область для просмотра, а затем укажите Диапазон времени, чтобы отфильтровать данные в соответствии с вашими потребностями. Используйте переключатель Показать справку для отображения контекстных подсказок книги.

   

В этой книге есть три раздела в виде вкладок:

• На вкладке Обзор отображается общее состояние приема данных в выбранной рабочей области: меры объема, скорость EPS и время последнего получения журнала.

• Вкладка Аномалии сбора данных позволяет обнаруживать аномалии в процессе сбора данных. Аномалии группируются по таблице и источнику данных. На каждой вкладке представлены аномалии для определенной таблицы (вкладка Общие содержит коллекцию таблиц). Аномалии вычисляются с помощью функции series_decompose_anomalies(), которая возвращает оценку аномалий. Подробнее об этой функции Задайте следующие параметры для функции:

  • AnomaliesTimeRange: на этот раз средство выбора применяется только к представлению аномалий сбора данных.

  • SampleInterval: интервал времени, в котором данные выборки приведены в заданном диапазоне времени. Оценка аномалии вычисляется только по данным последнего интервала.

  • PositiveAlertThreshold: это значение определяет порог положительной оценки аномалий. Допускаются десятичные значения.

  • NegativeAlertThreshold: это значение определяет порог отрицательной оценки аномалий. Допускаются десятичные значения.

    

• На вкладке Сведения об агенте отображаются сведения о работоспособности агентов Log Analytics, установленных на различных компьютерах, включая виртуальные машины Azure, другие облачные виртуальные машины, локальные виртуальные машины или физические компьютеры. Можно вести наблюдение по следующим критериям:

  • Расположение системы

  • Состояние пульса и задержка

  • Доступная память и дисковое пространство

  • Операции агента

    В этом разделе необходимо выбрать вкладку, соответствующую среде компьютеров. Выберите вкладку Компьютеры под управлением Azure, чтобы просмотреть только компьютеры под управлением Azure Arc. Перейдите на вкладку Все компьютеры, чтобы просмотреть управляемые компьютеры и компьютеры, не связанные с Azure, на которых установлен агент Log Analytics.

    

Использование таблицы данных SentinelHealth (общедоступная предварительная версия)

Чтобы получить данные о работоспособности соединителя данных из таблицы данных SentinelHealth , необходимо сначала включить функцию работоспособности Microsoft Sentinel для рабочей области. Дополнительные сведения см. в разделе Включение мониторинга работоспособности для Microsoft Sentinel.

После включения функции работоспособности таблица данных SentinelHealth создается при первом событии успеха или сбоя, созданном для соединителей данных.

Поддерживаемые соединители данных

Таблица данных SentinelHealth в настоящее время поддерживается только для следующих соединителей данных:

• Amazon Web Services (CloudTrail и S3)
• Dynamics 365
• Office 365
• Microsoft Defender для конечной точки
• Аналитика угроз — TAXII
• Платформы аналитики угроз

Основные сведения о событиях таблицы SentinelHealth

В таблице SentinelHealth регистрируются следующие типы событий работоспособности:

• Изменение состояния для получения данных. Регистрируется ежечасно, если состояние соединителя данных остается стабильным (с непрерывными событиями успеха или сбоя). Если состояние соединителя данных не изменяется, мониторинг с ежечасной регистрацией позволяет предотвратить избыточный аудит и уменьшить размер таблицы. Если в состоянии соединителя данных наблюдаются постоянные сбои, в столбец ExtendedProperties включаются дополнительные сведения о сбоях.

  Если состояние соединителя данных изменяется (с успеха на сбой, со сбоя на успех или из-за изменения причины сбоя), событие регистрируется немедленно, чтобы ваша команда могла предпринять упреждающие и мгновенные действия.

  Потенциально временные ошибки, такие как регулирование службы источника, регистрируются только в том случае, если они длятся более 60 минут. Эти 60 минут позволяют Microsoft Sentinel устранить временную ошибку в серверной части и обработать данные без вмешательства пользователя. Ошибки, которые точно не являются временными, регистрируются немедленно.

• Сводка ошибок. Регистрируется ежечасно на каждом соединителе в каждой рабочей области с ведением статистической сводки по сбоям. События сводки ошибок создаются только в том случае, если на соединителе возникли ошибки опроса в течение заданного часа. Они содержат дополнительные сведения, представленные в столбце ExtendedProperties, например период времени, в течение которого отправлялись запросы к исходной платформе соединителя, и отдельный список сбоев, возникших за этот период времени.

Дополнительные сведения см. в разделе Схема столбцов таблицы SentinelHealth.

Выполнение запросов для обнаружения изменений работоспособности

Создайте запросы к таблице SentinelHealth, чтобы упростить обнаружение изменений работоспособности в соединителях данных. Например:

Обнаружение последних событий сбоя на соединителе:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Обнаружение соединителей с изменениями состояния со сбоя на успешность:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Обнаружение соединителей с изменениями состояния с успешности на сбой:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Настройка оповещений и автоматических действий для проблем работоспособности

Хотя вы можете использовать правила аналитики Microsoft Sentinel для настройки автоматизации в журналах Microsoft Sentinel, если вы хотите получать уведомления и немедленно предпринимать действия по изменениям работоспособности в соединителях данных, мы рекомендуем использовать правила генерации оповещений Azure Monitor.

Например:

1. В правиле генерации оповещений Azure Monitor выберите рабочую область Microsoft Sentinel в качестве области правила и задайте Поиск по пользовательским журналам в качестве первого условия.

2. При необходимости настройте логику оповещений, например частоту или длительность ретроспективного поиска, а затем используйте запросы для поиска изменений работоспособности.

3. Для действий правила выберите существующую группу действий или создайте новую, чтобы настроить push-уведомления или другие автоматические действия, например активацию веб-перехватчика приложения логики или Функции Azure в системе.

Дополнительные сведения см. в статьях Обзор оповещений Azure Monitor и Журнал оповещений Azure Monitor.

Следующие шаги

• Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
• Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
• Отслеживайте работоспособность правил автоматизации и сборников схем.
• Отслеживайте работоспособность и целостность правил аналитики.
• См. дополнительные сведения о схемах таблиц SentinelHealth и SentinelAudit.