Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma (önizleme)

Microsoft Sentinel'in Ayarlar sayfasında denetim ve sistem durumu izleme özelliğini açarak desteklenen Microsoft Sentinel kaynaklarının sistem durumunu izleyin ve bütünlüğünü denetleyin. En son hata olayları veya başarı durumundan başarısızlık durumlarına yapılan değişiklikler ve yetkisiz eylemler gibi durum kaymaları hakkında içgörüler alın ve bildirimler ve diğer otomatik eylemler oluşturmak için bu bilgileri kullanın.

SentinelHealth veri tablosundan sistem durumu verilerini almak veya SentinelAudit veri tablosundan denetim bilgilerini almak için öncelikle çalışma alanınız için Microsoft Sentinel denetim ve sistem durumu izleme özelliğini açmanız gerekir.

Bu makalede, bu özellikleri nasıl açabileceğiniz anlatılır.

API (Bicep/ARM/REST) kullanarak sistem durumu ve denetim özelliğini uygulamak için Tanılama Ayarları işlemlerini gözden geçirin.

Denetim ve sistem durumu olaylarınızın saklama süresini yapılandırmak için bkz. Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırma.

Önemli

SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .

Veri tabloları ve kaynak türleri

Özellik açıldığında, seçilen kaynaklar için oluşturulan ilk olayda SentinelHealth ve SentinelAudit veri tabloları oluşturulur.

Şu anda sistem durumu izleme için aşağıdaki kaynak türleri desteklenmektedir:

• Analiz kuralları (Yeni!)
• Veri bağlayıcıları
• Otomasyon kuralları
• Playbook'lar (Azure Logic Apps iş akışları)

  Not

  Playbook sistem durumunu izlerken playbook etkinliğinizin tam resmini elde etmek için playbook'larınızdan Azure Logic Apps tanılama olaylarını da toplamanız gerekir. Daha fazla bilgi için bkz. Otomasyon kurallarınızın ve playbook'larınızın durumunu izleme .

Şu anda denetim için yalnızca analiz kuralı kaynak türü desteklenmektedir.

Çalışma alanınız için denetim ve sistem durumu izlemeyi açma

1. Microsoft Sentinel'de, soldaki Yapılandırma menüsünün altında Ayarlar'ı seçin.

2. Başlıktan Ayarlar'ı seçin.

3. Aşağı kaydırarak aşağıda görünen Denetim ve sistem durumu izleme bölümüne gelin ve genişletmek için seçin.

4. Tüm kaynak türlerinde denetim ve sistem durumu izlemeyi etkinleştirmek ve denetim ve izleme verilerini Microsoft Sentinel çalışma alanınıza (başka hiçbir yere değil) göndermek için Etkinleştir'i seçin.

   Ya da tanılama ayarlarını yapılandır bağlantısını seçerek yalnızca veri toplayıcı ve/veya otomasyon kaynakları için sistem durumu izlemeyi etkinleştirebilir veya verilerin gönderileceği ek yerler gibi gelişmiş seçenekleri yapılandırabilirsiniz.

   

   Etkinleştir'i seçtiyseniz düğme gri görünür ve Etkinleştiriliyor... ve ardından Etkin olarak değişir. Bu noktada denetim ve sistem durumu izleme etkinleştirilir ve işiniz biter! Arka planda uygun tanılama ayarları eklendi ve Tanılama ayarlarını yapılandır bağlantısını seçerek bunları görüntüleyebilir ve düzenleyebilirsiniz.

5. Tanılama ayarlarını yapılandır'ı seçtiyseniz Tanılama ayarları ekranında + Tanılama ayarı ekle'yi seçin.

   (Mevcut bir ayarı düzenliyorsanız, tanılama ayarları listesinden bu ayarı seçin.)

   • Tanılama ayarı adı alanına, ayarınız için anlamlı bir ad girin.

   • Günlükler sütununda, izlemek istediğiniz kaynak türleri için uygun Kategorileri seçin, örneğin Veri Toplama - Bağlayıcılar. Analiz kurallarını izlemek istiyorsanız allLogs'ı seçin.

   • Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin ve açılan menülerden Abonelik ve Log Analytics çalışma alanınızı seçin.

     

     Gerekirse, Log Analytics çalışma alanına ek olarak verilerinizin gönderildiği diğer hedefleri de seçebilirsiniz.

6. Yeni ayarınızı kaydetmek için üst başlıkta Kaydet'i seçin.

SentinelHealth ve SentinelAudit veri tabloları, seçilen kaynaklar için oluşturulan ilk olayda oluşturulur.

Tabloların veri aldığını doğrulama

Microsoft Sentinel Günlükleri sayfasında SentinelHealth tablosunda bir sorgu çalıştırın. Örneğin:

_SentinelHealth()
 | take 20

Sonraki adımlar

• Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
• Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
• Veri bağlayıcılarınızın durumunu izleyin.
• Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
• SentinelHealth ve SentinelAudit tablo şemaları hakkında daha fazla bilgi edinin.