Dela via


Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker

För att säkerställa korrekt funktion och prestanda för din säkerhetsorkestrering, automatisering och svarsåtgärder i Microsoft Sentinel-tjänsten kan du hålla reda på hälsotillståndet för dina automatiseringsregler och spelböcker genom att övervaka deras körningsloggar.

Konfigurera meddelanden om hälsohändelser för relevanta intressenter som sedan kan vidta åtgärder. Definiera och skicka till exempel e-post eller Microsoft Teams-meddelanden, skapa nya biljetter i ditt biljettsystem och så vidare.

Den här artikeln beskriver hur du använder Microsoft Sentinels hälsoövervakningsfunktioner för att hålla reda på dina automatiseringsregler och spelböckers hälsa inifrån Microsoft Sentinel. Mer information finns i Granskning och hälsoövervakning i Microsoft Sentinel.

Använda datatabellen SentinelHealth (offentlig förhandsversion)

Om du vill hämta automationshälsodata från datatabellen SentinelHealth aktiverar du först Microsoft Sentinel-hälsofunktionen för din arbetsyta. Mer information finns i Aktivera hälsoövervakning för Microsoft Sentinel.

När hälsofunktionen är aktiverad skapas datatabellen SentinelHealth vid den första lyckade eller misslyckade händelsen som genereras för dina automatiseringsregler och spelböcker.

Förstå SentinelHealth-tabellhändelser

Följande typer av automationshälsohändelser loggas i tabellen SentinelHealth :

Mer information finns i Schema för SentinelHealth-tabellkolumner.

Statusar, fel och föreslagna steg

För körningsstatus för Automation-regeln kan du se följande statusar:

  • Lyckades: regeln har körts, vilket utlöser alla åtgärder.

  • Delvis lyckad: regeln kördes och utlöste minst en åtgärd, men vissa åtgärder misslyckades.

  • Fel: Automatiseringsregeln körde ingen åtgärd på grund av någon av följande orsaker:

    • Villkorsutvärderingen misslyckades.
    • Villkoren uppfylldes, men den första åtgärden misslyckades.

För spelboken utlöstes status kan du se följande statusar:

  • Lyckades: spelboken utlöstes.

  • Fel: det gick inte att utlösa spelboken.

    Kommentar

    Framgång innebär bara att automationsregeln har utlöst en spelbok. Den visar inte när spelboken startade eller avslutades, resultatet av åtgärderna i spelboken eller det slutliga resultatet av spelboken.

    Om du vill hitta den här informationen frågar du logic apps-diagnostikloggarna. Mer information finns i Hämta den fullständiga automationsbilden.

Felbeskrivningar och föreslagna åtgärder

Felbeskrivning Föreslagna åtgärder
Det gick inte att lägga till uppgiften: TaskName>.<
Det gick inte att hitta incidenten/aviseringen.
Kontrollera att incidenten/aviseringen finns och försök igen.
Det gick inte att lägga till uppgiften: TaskName>.<
Incidenten innehåller redan det maximala tillåtna antalet uppgifter.
Om den här uppgiften krävs kan du se om det finns några aktiviteter som kan tas bort eller konsolideras och försök igen.
Det gick inte att ändra egenskapen: PropertyName>.<
Det gick inte att hitta incidenten/aviseringen.
Kontrollera att incidenten/aviseringen finns och försök igen.
Det gick inte att ändra egenskapen: PropertyName>.<
För många begäranden, överskrider begränsningsgränserna.
Det gick inte att utlösa spelboken: PlaybookName>.<
Det gick inte att hitta incidenten/aviseringen.
Om felet uppstod när du försökte utlösa en spelbok på begäran kontrollerar du att incidenten/aviseringen finns och försök igen.
Det gick inte att utlösa spelboken: PlaybookName>.<
Antingen hittades inte spelboken eller så saknade Microsoft Sentinel behörigheter för den.
Redigera automatiseringsregeln, leta upp och välj spelboken på den nya platsen och spara. Kontrollera att Microsoft Sentinel har behörighet att köra den här spelboken.
Det gick inte att utlösa spelboken: PlaybookName>.<
Innehåller en utlösartyp som inte stöds.
Kontrollera att din spelbok börjar med rätt Logic Apps-utlösare: Microsoft Sentinel-incident eller Microsoft Sentinel-avisering.
Det gick inte att utlösa spelboken: PlaybookName>.<
Prenumerationen är inaktiverad och markerad som skrivskyddad. Spelböcker i den här prenumerationen kan inte köras förrän prenumerationen har återaktiverats.
Återaktivera Azure-prenumerationen där spelboken finns.
Det gick inte att utlösa spelboken: PlaybookName>.<
Spelboken har inaktiverats.
Aktivera din spelbok i Microsoft Sentinel på fliken Aktiva spelböcker under Automation eller på resurssidan För Logic Apps.
Det gick inte att utlösa spelboken: PlaybookName>.<
Ogiltig malldefinition.
Det finns ett fel i spelboksdefinitionen. Gå till Logic Apps-designern för att åtgärda problemen och spara spelboken.
Det gick inte att utlösa spelboken: PlaybookName>.<
Konfiguration av åtkomstkontroll begränsar Microsoft Sentinel.
Logic Apps-konfigurationer gör det möjligt att begränsa åtkomsten till att utlösa spelboken. Den här begränsningen gäller för den här spelboken. Ta bort den här begränsningen så att Microsoft Sentinel inte blockeras. Läs mer
Det gick inte att utlösa spelboken: PlaybookName>.<
Microsoft Sentinel saknar behörighet att köra den.
Microsoft Sentinel kräver behörigheter för att köra spelböcker.
Det gick inte att utlösa spelboken: PlaybookName>.<
Spelboken har inte migrerats till den nya behörighetsmodellen. Ge Microsoft Sentinel behörighet att köra den här spelboken och återutge regeln.
Ge Microsoft Sentinel behörighet att köra den här spelboken och återutge regeln.
Det gick inte att utlösa spelboken: PlaybookName>.<
För många begäranden, vilket överskrider gränserna för arbetsflödesbegränsning.
Antalet väntande arbetsflödeskörningar har överskridit den maximala tillåtna gränsen. Prova att öka värdet för i konfigurationen av 'maximumWaitingRuns' samtidighet för utlösare.
Det gick inte att utlösa spelboken: PlaybookName>.<
För många begäranden, överskrider begränsningsgränserna.
Läs mer om prenumerations- och klientbegränsningar.
Det gick inte att utlösa spelboken: PlaybookName>.<
Åtkomst förbjöds. Den hanterade identiteten saknar konfiguration eller så har nätverksbegränsningen för Logic Apps angetts.
Om spelboken använder hanterad identitet kontrollerar du att den hanterade identiteten har tilldelats behörigheter. Spelboken kan ha regler för nätverksbegränsning som förhindrar att den utlöses eftersom de blockerar Microsoft Sentinel-tjänsten.
Det gick inte att utlösa spelboken: PlaybookName>.<
Prenumerationen eller resursgruppen var låst.
Ta bort låset för att tillåta Spelböcker för Microsoft Sentinel-utlösare i det låsta omfånget. Läs mer om låsta resurser.
Det gick inte att utlösa spelboken: PlaybookName>.<
Anroparen saknar nödvändiga spelboksutlösande behörigheter för spelboken, eller så saknar Microsoft Sentinel behörigheter för den.
Användaren som försöker utlösa spelboken på begäran saknar Rollen Logic Apps-deltagare i spelboken eller för att utlösa spelboken. Läs mer
Det gick inte att utlösa spelboken: PlaybookName>.<
Ogiltiga autentiseringsuppgifter i anslutningen.
Kontrollera de autentiseringsuppgifter som anslutningen använder i API-anslutningstjänsten i Azure-portalen.
Det gick inte att utlösa spelboken: PlaybookName>.<
Arm-ID:t för spelboken är inte giltigt.

Hämta den fullständiga automationsbilden

Med Microsoft Sentinels hälsoövervakningstabell kan du spåra när spelböcker utlöses, men för att övervaka vad som händer i dina spelböcker och deras resultat när de körs måste du också aktivera diagnostik i Azure Logic Apps för att mata in följande händelser i Tabellen AzureDiagnostics :

  • {Åtgärdsnamn} har startats
  • {Åtgärdsnamn} har avslutats
  • Arbetsflödet (spelboken) har startats
  • Arbetsflödet (spelboken) har avslutats

Dessa tillagda händelser ger ytterligare insikter om de åtgärder som vidtas i dina spelböcker.

Aktivera Azure Logic Apps-diagnostik

För varje spelbok som du är intresserad av övervakning aktiverar du Log Analytics för din logikapp. Välj Skicka till Log Analytics-arbetsyta som loggmål och välj din Microsoft Sentinel-arbetsyta.

Korrelera Loggar för Microsoft Sentinel och Azure Logic Apps

Nu när du har loggar för dina automatiseringsregler och spelböcker och loggar för dina enskilda Logic Apps-arbetsflöden på arbetsytan kan du korrelera dem för att få en fullständig bild. Överväg följande exempelfråga:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Använda arbetsboken för hälsoövervakning

Arbetsboken Automation Health hjälper dig att visualisera dina hälsodata samt korrelationen mellan de två typer av loggar som vi nyss nämnde. Arbetsboken innehåller följande skärmar:

  • Hälsa och information om automationsregeln
  • Spelboksutlösarens hälsa och information
  • Spelboken kör hälsa och information (kräver att Azure Diagnostic är aktiverat på spelboksnivå)
  • Automatiseringsinformation per incident

Till exempel:

Skärmbild som visar öppningspanelen i arbetsboken för automationshälsa.

Välj fliken Spelböcker som körs av fliken Automation-regler för att se spelboksaktivitet.

Skärmbild som visar en lista över spelböcker som anropas av automatiseringsregler.

Välj en spelbok för att se listan över dess körningar i diagrammet för ökad detaljnivå nedan.

Skärmbild som visar en lista över körningar av den valda spelboken.

Välj en viss körning för att se resultatet av åtgärderna i spelboken.

Skärmbild som visar de åtgärder som vidtas i en viss körning av den här spelboken.

Nästa steg