Aktivera granskning och hälsoövervakning för Microsoft Sentinel (förhandsversion)

Övervaka hälsotillståndet och granska integriteten för Microsoft Sentinel-resurser som stöds genom att aktivera funktionen för granskning och hälsoövervakning på sidan Inställningar i Microsoft Sentinel. Få insikter om hälsoavvikelser, till exempel de senaste felhändelserna eller ändringarna från lyckade till misslyckade tillstånd och om obehöriga åtgärder, och använd den här informationen för att skapa meddelanden och andra automatiserade åtgärder.

Om du vill hämta hälsodata från datatabellen SentinelHealth eller för att hämta granskningsinformation från datatabellen SentinelAudit måste du först aktivera microsoft Sentinel-gransknings- och hälsoövervakningsfunktionen för din arbetsyta. Den här artikeln beskriver hur du aktiverar dessa funktioner.

Om du vill implementera hälso- och granskningsfunktionen med hjälp av API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) granskar du åtgärderna för diagnostikinställningar. Information om hur du konfigurerar kvarhållningstiden för gransknings- och hälsohändelser finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

Viktigt!

Datatabellerna SentinelHealth och SentinelAudit finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

• Innan du börjar kan du läsa mer om hälsoövervakning och granskning i Microsoft Sentinel. Mer information finns i Granskning och hälsoövervakning i Microsoft Sentinel.

Aktivera granskning och hälsoövervakning för din arbetsyta

1. I Microsoft Sentinel går du till menyn Konfiguration till vänster och väljer Inställningar.

2. Välj Inställningar i banderollen.

3. Rulla ned till avsnittet Granskning och hälsoövervakning och välj det för att expandera.

4. Välj Aktivera för att aktivera granskning och hälsoövervakning för alla resurstyper och för att skicka gransknings- och övervakningsdata till din Microsoft Sentinel-arbetsyta (och ingen annanstans).

   Eller välj länken Konfigurera diagnostikinställningar för att endast aktivera hälsoövervakning för datainsamlaren och/eller automationsresurserna, eller för att konfigurera avancerade alternativ, till exempel fler platser där data ska skickas.

   

   Om du har valt Aktivera blir knappen nedtonad och ändras till Aktivering ... och sedan Aktiverad. Vid den tidpunkten är granskning och hälsoövervakning aktiverat, och du är klar! Lämpliga diagnostikinställningar lades till i bakgrunden och du kan visa och redigera dem genom att välja länken Konfigurera diagnostikinställningar .

5. Om du har valt Konfigurera diagnostikinställningar väljer du + Lägg till diagnostikinställning på skärmen Diagnostikinställningar.

   (Om du redigerar en befintlig inställning väljer du den i listan med diagnostikinställningar.)

   • I fältet Namn på diagnostikinställning anger du ett beskrivande namn för inställningen.

   • I kolumnen Loggar väljer du lämpliga kategorier för de resurstyper som du vill övervaka, till exempel Datainsamling – Anslutningsappar. Välj allaLoggar om du vill övervaka analysregler.

   • Under Målinformation väljer du Skicka till Log Analytics-arbetsyta och väljer din prenumerations - och Log Analytics-arbetsyta i listrutorna.

     

     Om du behöver det kan du välja andra mål som du vill skicka dina data till, utöver Log Analytics-arbetsytan.

6. Välj Spara på den övre banderollen för att spara den nya inställningen.

Datatabellerna SentinelHealth och SentinelAudit skapas vid den första händelsen som genereras för de valda resurserna.

Kontrollera att tabellerna tar emot data

På sidan Microsoft Sentinel-loggar kör du en fråga i tabellen SentinelHealth. Till exempel:

_SentinelHealth()
 | take 20

Datatabeller och resurstyper som stöds

När funktionen är aktiverad skapas datatabellerna SentinelHealth och SentinelAudit vid den första händelsen som genereras för de valda resurserna.

Microsoft Sentinel-hälsoövervakning stöder för närvarande följande typer av resurser:

• Analysregler
• Dataanslutningar
• Automatiseringsregler
• Spelböcker (Azure Logic Apps-arbetsflöden)

Kommentar

När du övervakar spelbokshälsan måste du samla in diagnostikhändelser i Azure Logic Apps från dina spelböcker för att få en fullständig bild av spelboksaktiviteten. Mer information finns i Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.

Endast resurstypen analysregel stöds för närvarande för granskning.

Nästa steg

• Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
• Övervaka hälsotillståndet för dina dataanslutningar.
• Övervaka hälsotillståndet och integriteten för dina analysregler.