Aracılığıyla paylaş

Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma (önizleme)

  • Makale

Microsoft Sentinel'in Ayarlar sayfasında denetim ve sistem durumu izleme özelliğini açarak desteklenen Microsoft Sentinel kaynaklarının sistem durumunu izleyin ve bütünlüğünü denetleyin. En son hata olayları veya başarı durumundan hata durumlarına yapılan değişiklikler ve yetkisiz eylemler gibi sistem durumu kaymalarıyla ilgili içgörüler alın ve bu bilgileri kullanarak bildirimler ve diğer otomatik eylemler oluşturun.

SentinelHealth veri tablosundan sistem durumu verilerini almak veya SentinelAudit veri tablosundan denetim bilgilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel denetimi ve sistem durumu izleme özelliğini açmanız gerekir. Bu makalede, bu özellikleri nasıl açabileceğiniz anlatılır.

API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) kullanarak sistem durumu ve denetim özelliğini uygulamak için Tanılama Ayarları işlemlerini gözden geçirin. Denetim ve sistem durumu olaylarınızın bekletme süresini yapılandırmak için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.

Önemli

SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

  • Başlamadan önce Microsoft Sentinel'de sistem durumu izleme ve denetim hakkında daha fazla bilgi edinin. Daha fazla bilgi için bkz . Microsoft Sentinel'de denetim ve sistem durumu izleme.

Çalışma alanınız için denetim ve sistem durumu izlemeyi açma

  1. Microsoft Sentinel'de, soldaki Yapılandırma menüsünün altında Ayarlar'ı seçin.

  2. Başlıktan Ayarlar'ı seçin.

  3. Ekranı aşağı kaydırarak Denetim ve sistem durumu izleme bölümüne gelin ve genişletmek için seçin.

  4. Tüm kaynak türlerinde denetimi ve sistem durumunu izlemeyi etkinleştirmek ve denetim ve izleme verilerini Microsoft Sentinel çalışma alanınıza (ve başka hiçbir yere) göndermek için Etkinleştir'i seçin.

    Ya da tanılama ayarlarını yapılandır bağlantısını seçerek yalnızca veri toplayıcısı ve/veya otomasyon kaynakları için sistem durumu izlemeyi etkinleştirebilir veya verilerin gönderileceği diğer yerler gibi gelişmiş seçenekleri yapılandırabilirsiniz.

    Sistem durumu izleme ayarlarına nasıl ulaşacaklarını gösteren ekran görüntüsü.

    Etkinleştir'i seçtiyseniz düğme gri görünür ve Etkinleştiriliyor... ve ardından Etkin olarak değişir. Bu noktada denetim ve sistem durumu izleme etkinleştirilir ve işiniz biter! Arka planda uygun tanılama ayarları eklendi ve tanılama ayarlarını yapılandır bağlantısını seçerek bunları görüntüleyebilir ve düzenleyebilirsiniz.

  5. Tanılama ayarlarını yapılandır'ı seçtiyseniz Tanılama ayarları ekranında + Tanılama ayarı ekle'yi seçin.

    (Mevcut bir ayarı düzenliyorsanız, tanılama ayarları listesinden bu ayarı seçin.)

    • Tanılama ayarı adı alanına, ayarınız için anlamlı bir ad girin.

    • Günlükler sütununda, izlemek istediğiniz kaynak türleri için uygun Kategorileri seçin, örneğin Veri Toplama - Bağlayıcılar. Analiz kurallarını izlemek istiyorsanız allLogs'ı seçin.

    • Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin ve açılan menülerden Abonelik ve Log Analytics çalışma alanınızı seçin.

      Denetimi ve sistem durumunu izlemeyi etkinleştirmeye yönelik tanılama ayarları ekranının ekran görüntüsü.

      gerekirse, Log Analytics çalışma alanına ek olarak verilerinizin gönderildiği diğer hedefleri de seçebilirsiniz.

  6. Yeni ayarınızı kaydetmek için üst başlıkta Kaydet'i seçin.

SentinelHealth ve SentinelAudit veri tabloları, seçilen kaynaklar için oluşturulan ilk olayda oluşturulur.

Tabloların veri aldığını doğrulayın

Microsoft Sentinel Günlükleri sayfasında SentinelHealth tablosunda bir sorgu çalıştırın. Örneğin:

_SentinelHealth()
 | take 20

Desteklenen veri tabloları ve kaynak türleri

Özellik açıldığında, seçilen kaynaklar için oluşturulan ilk olayda SentinelHealth ve SentinelAudit veri tabloları oluşturulur.

Microsoft Sentinel sistem durumu izleme şu anda aşağıdaki kaynak türlerini destekler:

  • Analiz kuralları
  • Veri bağlayıcıları
  • Otomasyon kuralları
  • Playbook'lar (Azure Logic Apps iş akışları)

Not

Playbook sistem durumunu izlerken playbook etkinliğinizin tam resmini almak için playbook'larınızdan Azure Logic Apps tanılama olaylarını topladığınızdan emin olun. Daha fazla bilgi için bkz . Otomasyon kurallarınızın ve playbook'larınızın durumunu izleme.

Şu anda denetim için yalnızca analiz kuralı kaynak türü desteklenmektedir.

Sonraki adımlar