Aracılığıyla paylaş

Sistem durumunu izleme ve analiz kurallarınızın bütünlüğünü denetleme

  • Makale

Microsoft Sentinel hizmetinizde kapsamlı, kesintisiz ve kurcalamayan tehdit algılama sağlamak için analiz kurallarınızın sistem durumunu ve bütünlüğünü takip edin ve yürütme içgörülerini izleyerek, sistem durumu ve denetim günlüklerini sorgulayarak ve kurallarınızı test etmek ve iyileştirmek için el ile yeniden çalıştırmayı kullanarak bunların en iyi şekilde çalışmasını sağlayın.

Daha sonra eylem gerçekleştirebilecek ilgili paydaşlar için sağlık ve denetim olaylarının bildirimlerini ayarlayın. Örneğin, e-posta veya Microsoft Teams iletileri tanımlayıp gönderin, bilet oluşturma sisteminizde yeni biletler oluşturun vb.

Bu makalede, analiz kurallarınızın sistem durumunu ve bütünlüğünü Microsoft Sentinel'in içinden izlemek için Microsoft Sentinel'in denetim ve sistem durumu izleme özelliklerinin nasıl kullanılacağı açıklanır.

Kural içgörüleri ve kuralları el ile yeniden çalıştırma hakkında bilgi için bkz . Zamanlanmış analiz kurallarınızın yürütülmesini izleme ve iyileştirme.

Önemli

SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Özet

  • Microsoft Sentinel analiz kuralı sistem durumu günlükleri:

    • Bu günlük, analiz kurallarının çalıştırılmasını kaydeden olayları ve bu çalıştırmaların sonucunu (başarılı veya başarısız olursa ve başarısız olduysa neden) yakalar.
    • Günlük ayrıca bir analiz kuralının her çalıştırması için şunları kaydeder:
      • Kuralın sorgusu tarafından yakalanan olay sayısını gösterir.
      • Kuralda tanımlanan eşiği geçen olay sayısının, kuralın uyarı tetiklesine neden olup olmadığı.

    Bu günlükler Log Analytics'teki SentinelHealth tablosunda toplanır.

  • Microsoft Sentinel analiz kuralı denetim günlükleri:

    • Bu günlük, aşağıdaki ayrıntılar da dahil olmak üzere herhangi bir analiz kuralında yapılan değişiklikleri kaydeden olayları yakalar:
      • Değiştirilen kuralın adı.
      • Kuralın hangi özellikleri değiştirildi?
      • Kural ayarlarının değişiklik öncesi ve sonrası durumu.
      • Değişikliği yapan kullanıcı veya kimlik.
      • Değişikliğin kaynak IP adresi ve tarih/saati.
      • ... ve daha fazlası.

    Bu günlükler Log Analytics'teki SentinelAudit tablosunda toplanır.

SentinelHealth ve SentinelAudit veri tablolarını kullanma (Önizleme)

Yukarıda açıklanan tablolardan denetim ve sistem durumu verilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel sistem durumu özelliğini açmanız gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma.

Sistem durumu özelliği açıldıktan sonra, otomasyon kurallarınız ve playbook'larınız için oluşturulan ilk başarı veya başarısızlık olayında SentinelHealth veri tablosu oluşturulur.

SentinelHealth ve SentinelAudit tablo olaylarını anlama

Aşağıdaki analiz kuralı sistem durumu olayları türleri SentinelHealth tablosuna kaydedilir:

Aşağıdaki analiz kuralı denetim olayları türleri SentinelAudit tablosuna kaydedilir:

Sistem durumu ve bütünlük sorunlarını algılamak için sorgu çalıştırma

En iyi sonuçları elde etmek için, sorgularınızı tabloları doğrudan sorgulamak yerine _SentinelHealth() ve _SentinelAudit() gibi bu tablolarda önceden oluşturulmuş işlevler üzerinde oluşturmanız gerekir. Bu işlevler, tabloların şemasında değişiklik yapılması durumunda sorgularınızın geriye dönük uyumluluğunun korunmasını sağlar.

İlk adım olarak, sorgularınızın analiz kurallarıyla ilgili veriler için tabloları filtrelemesi gerekir. parametresini SentinelResourceType kullanın.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

İsterseniz, belirli bir analiz kuralı türü için listeyi daha fazla filtreleyebilirsiniz. Bunun için parametresini SentinelResourceKind kullanın.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Başlamanıza yardımcı olacak bazı örnek sorgular aşağıda verilmiştir:

  • Başarıyla çalışmayan kuralları bulun:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • "Otomatik devre dışı bırakılmış" kuralları bulun:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Başarılı veya başarısız olan kuralları ve çalıştırmaları sayma nedeni:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Kural silme etkinliğini bulma:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Kural adına ve etkinlik adına göre kurallardaki etkinliği bulun:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Çağıranın adına (etkinliği gerçekleştiren kimlik) göre kurallardaki etkinliği bulun:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Durumlar, hatalar ve önerilen adımlar

Zamanlanmış analiz kuralı çalıştırması veya NRT analiz kuralı çalıştırması için aşağıdaki durumlardan ve açıklamalardan herhangi birini görebilirsiniz:

  • Başarılı: Kural başarıyla yürütüldü, uyarılar oluşturuluyor <n> .

  • Başarılı: Kural başarıyla yürütüldü, ancak uyarı oluşturmak için gereken eşiğe (<n>) ulaşmadı.

  • Hata: Bunlar kural hatası için olası açıklamalar ve bunlar hakkında neler yapabileceğinizdir.

    Açıklama Düzeltme
    Sorgu çalıştırılırken bir iç sunucu hatası oluştu.
    Sorgu yürütme zaman aşımına uğradı.
    Sorguda başvurulan bir tablo bulunamadı. İlgili veri kaynağının bağlı olduğunu doğrulayın.
    Sorgu çalıştırılırken anlamsal bir hata oluştu. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin.
    Sorgu tarafından çağrılan bir işlev, ayrılmış bir sözcükle adlandırılır. İşlevi kaldırın veya yeniden adlandırın.
    Sorgu çalıştırılırken söz dizimi hatası oluştu. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin.
    Çalışma alanı yok.
    Bu sorgu çok fazla sistem kaynağı kullandığı bulundu ve çalıştırılması engellendi. Analiz kuralını gözden geçirin ve ayarlayın. Kusto Sorgu Dili genel bakış ve en iyi yöntemler belgelerimize bakın.
    Sorgu tarafından çağrılan bir işlev bulunamadı. Çalışma alanınızda sorgu tarafından çağrılan tüm işlevlerin varlığını doğrulayın.
    Sorguda kullanılan çalışma alanı bulunamadı. Sorgudaki tüm çalışma alanlarının var olduğunu doğrulayın.
    Bu sorguyu çalıştırma izniniz yok. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin.
    Sorgudaki bir veya daha fazla kaynak için erişim izniniz yok.
    Sorgu, bulunamadı bir depolama yoluna başvuruda bulundu.
    Sorgunun depolama yoluna erişimi reddedildi.
    Bu çalışma alanında aynı ada sahip birden çok işlev tanımlanmıştır. Yedekli işlevi kaldırın veya yeniden adlandırın ve kuralı düzenleyip kaydederek sıfırlayın.
    Bu sorgu herhangi bir sonuç döndürmedi.
    Bu sorguda birden çok sonuç kümesine izin verilmiyor.
    Sorgu sonuçları satır başına tutarsız sayıda alan içerir.
    Kuralın çalışması, uzun veri alımı süreleri nedeniyle geciktirildi.
    Kuralın çalışması geçici sorunlar nedeniyle geciktirildi.
    Geçici sorunlar nedeniyle uyarı zenginleştirilmedi.
    Varlık eşleme sorunları nedeniyle uyarı zenginleştirilmedi.
    <32 KB uyarı boyutu sınırı nedeniyle sayı> varlıkları uyarı <adına> bırakıldı.
    <varlık eşleme sorunları nedeniyle sayı> varlıkları uyarı <adına> bırakıldı.
    Sorgu, satır başına uyarı olay gruplandırma yapılandırmasıyla kural türü> kuralları için <izin verilen sınır> sonuçları üst sınırını <aşan sayı> olaylarıyla sonuçlandı.< İlk <sınır 1> olayları için satır başına uyarı oluşturuldu ve tüm olayları hesaba eklemek için ek bir toplu uyarı oluşturuldu.
    - <sayı> = sorgu tarafından döndürülen olayların sayısı
    - <limit> = şu anda zamanlanmış kurallar için 150 uyarı, NRT kuralları için 30 uyarı
    - <kural türü> = Zamanlanmış veya NRT

Denetim ve sistem durumu izleme çalışma kitabını kullanma

  1. Çalışma kitabını çalışma alanınızda kullanılabilir hale getirmek için, çalışma kitabı çözümünü Microsoft Sentinel içerik hub'ından yüklemeniz gerekir:

    1. Microsoft Sentinel portalından İçerik yönetimi menüsünde İçerik hub'ı (Önizleme) seçin.

    2. İçerik hub'ında, arama çubuğuna sistem durumu yazın ve sonuçlarda Tek Başına altındaki Çalışma Kitabı çözümleri arasından Analiz Durumu ve Denetim'i seçin.

      İçerik hub'ından analiz durumu çalışma kitabı seçiminin ekran görüntüsü.

    3. Ayrıntılar bölmesinden Yükle'yi ve ardından yerine görünen Kaydet'i seçin.

  2. Çözüm yüklü olduğunu gösterdiğinde Tehdit yönetimi menüsünden Çalışma Kitapları'nıseçin.

    analiz sistem durumu çalışma kitabı çözümünün içerik hub'ından yüklendiğini gösteren ekran görüntüsü.

  3. Çalışma Kitapları galerisinde Şablonlar sekmesini seçin, arama çubuğuna sistem durumu yazın ve sonuçlar arasından Analiz Durumu ve Denetim'i seçin.

    Şablon galerisinden analiz sistem durumu çalışma kitabını seçme işleminin ekran görüntüsü.

  4. Çalışma kitabının düzenlenebilir ve kullanılabilir bir kopyasını oluşturmak için ayrıntılar bölmesinde Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.

  5. Çalışma kitabına girdikten sonra, önce görüntülemek istediğiniz aboneliği ve çalışma alanını seçin (bunlar zaten seçili olabilir), ardından verileri gereksinimlerinize göre filtrelemek için TimeRange'i tanımlayın. Çalışma kitabının yerinde açıklamasını görüntülemek için Yardımı göster iki durumlu düğmesini kullanın.

    Analiz kuralı sistem durumu çalışma kitabına genel bakış sekmesinin ekran görüntüsü.

Bu çalışma kitabında üç sekmeli bölüm vardır:

Genel bakış sekmesi

Genel Bakış sekmesinde sistem durumu ve denetim özetleri gösterilir:

  • Analiz kuralının durumunun sistem durumu özetleri seçili çalışma alanında çalışır: çalıştırma sayısı, başarılar ve başarısızlıklar ve hata olayı ayrıntıları.
  • Seçili çalışma alanında analiz kuralları üzerindeki etkinliklerin özetlerini denetleme: zaman içindeki etkinlik sayısı, türe göre etkinlik sayısı ve kurala göre farklı türlerdeki etkinliklerin sayısı.

Sistem Durumu sekmesi

Sistem Durumu sekmesi, belirli sistem durumu olaylarının detayına gitmenizi sağlar.

Analiz sistem durumu çalışma kitabındaki sistem durumu sekmesinin seçiminin ekran görüntüsü.

  • Tüm sayfa verilerini duruma (başarılı/başarısız) ve kural türüne (zamanlanmış/NRT) göre filtreleyin.
  • Seçilen zaman aralığındaki başarılı ve/veya başarısız kural çalıştırmalarının eğilimlerini (durum filtresine bağlı olarak) görün. Özgün zaman aralığının bir alt kümesini görmek için eğilim grafiğini "zaman fırçası" yapabilirsiniz. Analiz durumu çalışma kitabında zaman içinde çalışan analiz kuralının ekran görüntüsü.
  • Sayfanın geri kalanını nedene göre filtreleyin.
  • Pasta grafikte duruma göre orantılı olarak görüntülenen tüm analiz kurallarının toplam çalıştırma sayısına bakın.
  • Aşağıda, kural türüne ve durumuna göre ayrılmış, çalıştırılan benzersiz analiz kurallarının sayısını gösteren bir tablo yer alır.
    • Bu durum için kalan grafikleri filtrelemek için bir durum seçin.
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin. Duruma göre çalıştırılan kural sayısının ve analiz durumu çalışma kitabındaki türün ekran görüntüsü.
  • Bu durumun olası nedenlerinin sayısıyla birlikte her durumu görün. (Yalnızca seçilen zaman çerçevesindeki çalıştırmalarda temsil edilen nedenler gösterilir.)
    • Bu durum için kalan grafikleri filtrelemek için bir durum seçin.
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin. Analiz durumu çalışma kitabındaki duruma göre benzersiz nedenlerin sayısının ekran görüntüsü.
  • Ardından, toplam kural çalıştırmalarının sayısını ve çalıştırılan benzersiz kuralların sayısını içeren bu nedenlerin listesine bakın.
    • Bu nedenle aşağıdaki grafikleri filtrelemek için bir neden seçin.
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin. Analiz sistem durumu çalışma kitabında benzersiz bir nedenden dolayı kural çalıştırmalarının ekran görüntüsü.
  • Bundan sonra, en son sonuçlar ve başarı ve/veya başarısızlık eğilim çizgileriyle (listeyi filtrelemek için seçilen duruma bağlı olarak) çalıştırılan benzersiz analiz kurallarının listesidir.
    • Detaya gitmek ve bu kuralın tüm çalıştırmalarını içeren yeni bir tablo göstermek için bir kural seçin (seçilen zaman çerçevesinde).
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini ("Geri Al" simgesi gibi) seçerek bu tabloyu temizleyin. Analiz sistem durumu çalışma kitabında durum ve eğilim çizgileriyle birlikte çalıştırılacak benzersiz kuralların listesinin ekran görüntüsü.
  • Yukarıdaki listeden bir kural seçtiyseniz, seçili kuralın sistem durumu ayrıntılarını içeren yeni bir tablo görüntülenir. Analiz sistem durumu çalışma kitabında seçili analiz kuralının çalıştırmalarının listesinin ekran görüntüsü.

Denetim sekmesi

Denetim sekmesi, belirli denetim olaylarının detayına gitmenizi sağlar.

Analiz durumu çalışma kitabındaki denetim sekmesinin seçiminin ekran görüntüsü.

  • Tüm sayfa verilerini denetim kuralı türüne (zamanlanmış/Fusion) göre filtreleyin.
  • Seçilen zaman aralığında analiz kuralları üzerinde denetlenen etkinliğin eğilimlerine bakın. Özgün zaman aralığının bir alt kümesini görmek için eğilim grafiğini "zaman fırçası" yapabilirsiniz. Analiz durumu çalışma kitabındaki popüler denetim etkinliğinin ekran görüntüsü.
  • Etkinlik ve kural türüne göre ayrılmış olarak denetlenen olayların sayısına bakın.
    • Bu etkinlik için aşağıdaki grafikleri filtrelemek için bir etkinlik seçin.
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin. Denetim olaylarının etkinliğe ve analiz durumu çalışma kitabına göre sayılarının ekran görüntüsü.
  • Kural adına göre denetlenen olayların sayısına bakın.
    • Bu kural için aşağıdaki tabloyu filtrelemek ve bu kuraldaki tüm etkinlikle (seçilen zaman çerçevesinde) detaya gidip yeni bir tablo göstermek için bir kural adı seçin. (Aşağıdaki ekran görüntüsünden sonra bakın.)
    • Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin. Analiz sistem durumu çalışma kitabındaki kural adına ve çağırana göre denetlenen olayların ekran görüntüsü.
  • Arayan tarafından denetlenen olayların sayısını (etkinliği gerçekleştiren kimlik) görün.
  • Yukarıda gösterilen grafikte bir kural adı seçtiyseniz, bu kuraldaki denetlenen etkinlikleri gösteren başka bir tablo görüntülenir. Kuralda yapılan değişiklikleri gösteren bir yan panel açmak için ExtendedProperties sütununda bağlantı olarak görünen değeri seçin. Analiz sistem durumu çalışma kitabında seçili kural için denetim etkinliğinin ekran görüntüsü.

Sonraki adımlar