Sistem durumunu izleme ve analiz kurallarınızın bütünlüğünü denetleme
Microsoft Sentinel hizmetinizde kapsamlı, kesintisiz ve kurcalamayan tehdit algılama sağlamak için analiz kurallarınızın sistem durumunu ve bütünlüğünü takip edin ve yürütme içgörülerini izleyerek, sistem durumu ve denetim günlüklerini sorgulayarak ve kurallarınızı test etmek ve iyileştirmek için el ile yeniden çalıştırmayı kullanarak bunların en iyi şekilde çalışmasını sağlayın.
Daha sonra eylem gerçekleştirebilecek ilgili paydaşlar için sağlık ve denetim olaylarının bildirimlerini ayarlayın. Örneğin, e-posta veya Microsoft Teams iletileri tanımlayıp gönderin, bilet oluşturma sisteminizde yeni biletler oluşturun vb.
Bu makalede, analiz kurallarınızın sistem durumunu ve bütünlüğünü Microsoft Sentinel'in içinden izlemek için Microsoft Sentinel'in denetim ve sistem durumu izleme özelliklerinin nasıl kullanılacağı açıklanır.
Kural içgörüleri ve kuralları el ile yeniden çalıştırma hakkında bilgi için bkz . Zamanlanmış analiz kurallarınızın yürütülmesini izleme ve iyileştirme.
Önemli
SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Özet
Microsoft Sentinel analiz kuralı sistem durumu günlükleri:
- Bu günlük, analiz kurallarının çalıştırılmasını kaydeden olayları ve bu çalıştırmaların sonucunu (başarılı veya başarısız olursa ve başarısız olduysa neden) yakalar.
- Günlük ayrıca bir analiz kuralının her çalıştırması için şunları kaydeder:
- Kuralın sorgusu tarafından yakalanan olay sayısını gösterir.
- Kuralda tanımlanan eşiği geçen olay sayısının, kuralın uyarı tetiklesine neden olup olmadığı.
Bu günlükler Log Analytics'teki SentinelHealth tablosunda toplanır.
Microsoft Sentinel analiz kuralı denetim günlükleri:
- Bu günlük, aşağıdaki ayrıntılar da dahil olmak üzere herhangi bir analiz kuralında yapılan değişiklikleri kaydeden olayları yakalar:
- Değiştirilen kuralın adı.
- Kuralın hangi özellikleri değiştirildi?
- Kural ayarlarının değişiklik öncesi ve sonrası durumu.
- Değişikliği yapan kullanıcı veya kimlik.
- Değişikliğin kaynak IP adresi ve tarih/saati.
- ... ve daha fazlası.
Bu günlükler Log Analytics'teki SentinelAudit tablosunda toplanır.
- Bu günlük, aşağıdaki ayrıntılar da dahil olmak üzere herhangi bir analiz kuralında yapılan değişiklikleri kaydeden olayları yakalar:
SentinelHealth ve SentinelAudit veri tablolarını kullanma (Önizleme)
Yukarıda açıklanan tablolardan denetim ve sistem durumu verilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel sistem durumu özelliğini açmanız gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma.
Sistem durumu özelliği açıldıktan sonra, otomasyon kurallarınız ve playbook'larınız için oluşturulan ilk başarı veya başarısızlık olayında SentinelHealth veri tablosu oluşturulur.
SentinelHealth ve SentinelAudit tablo olaylarını anlama
Aşağıdaki analiz kuralı sistem durumu olayları türleri SentinelHealth tablosuna kaydedilir:
Zamanlanmış analiz kuralı çalıştırması.
NRT analiz kuralı çalıştırması.
Daha fazla bilgi için bkz . SentinelHealth tablo sütunları şeması.
Aşağıdaki analiz kuralı denetim olayları türleri SentinelAudit tablosuna kaydedilir:
Analiz kuralı oluşturma veya güncelleştirme.
Analiz kuralı silindi.
Daha fazla bilgi için bkz . SentinelAudit tablo sütunları şeması.
Sistem durumu ve bütünlük sorunlarını algılamak için sorgu çalıştırma
En iyi sonuçları elde etmek için, sorgularınızı tabloları doğrudan sorgulamak yerine _SentinelHealth() ve _SentinelAudit() gibi bu tablolarda önceden oluşturulmuş işlevler üzerinde oluşturmanız gerekir. Bu işlevler, tabloların şemasında değişiklik yapılması durumunda sorgularınızın geriye dönük uyumluluğunun korunmasını sağlar.
İlk adım olarak, sorgularınızın analiz kurallarıyla ilgili veriler için tabloları filtrelemesi gerekir. parametresini SentinelResourceType
kullanın.
_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
İsterseniz, belirli bir analiz kuralı türü için listeyi daha fazla filtreleyebilirsiniz. Bunun için parametresini SentinelResourceKind
kullanın.
| where SentinelResourceKind == "Scheduled"
# OR
| where SentinelResourceKind == "NRT"
Başlamanıza yardımcı olacak bazı örnek sorgular aşağıda verilmiştir:
Başarıyla çalışmayan kuralları bulun:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Status != "Success"
"Otomatik devre dışı bırakılmış" kuralları bulun:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Reason == "The analytics rule is disabled and was not executed."
Başarılı veya başarısız olan kuralları ve çalıştırmaları sayma nedeni:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
Kural silme etkinliğini bulma:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | where Description =="Analytics rule deleted"
Kural adına ve etkinlik adına göre kurallardaki etkinliği bulun:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
Çağıranın adına (etkinliği gerçekleştiren kimlik) göre kurallardaki etkinliği bulun:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | extend Caller= tostring(ExtendedProperties.CallerName) | summarize Count = count() by Caller, Activity=Description
Durumlar, hatalar ve önerilen adımlar
Zamanlanmış analiz kuralı çalıştırması veya NRT analiz kuralı çalıştırması için aşağıdaki durumlardan ve açıklamalardan herhangi birini görebilirsiniz:
Başarılı: Kural başarıyla yürütüldü, uyarılar oluşturuluyor
<n>
.Başarılı: Kural başarıyla yürütüldü, ancak uyarı oluşturmak için gereken eşiğe (
<n>
) ulaşmadı.Hata: Bunlar kural hatası için olası açıklamalar ve bunlar hakkında neler yapabileceğinizdir.
Açıklama Düzeltme Sorgu çalıştırılırken bir iç sunucu hatası oluştu. Sorgu yürütme zaman aşımına uğradı. Sorguda başvurulan bir tablo bulunamadı. İlgili veri kaynağının bağlı olduğunu doğrulayın. Sorgu çalıştırılırken anlamsal bir hata oluştu. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin. Sorgu tarafından çağrılan bir işlev, ayrılmış bir sözcükle adlandırılır. İşlevi kaldırın veya yeniden adlandırın. Sorgu çalıştırılırken söz dizimi hatası oluştu. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin. Çalışma alanı yok. Bu sorgu çok fazla sistem kaynağı kullandığı bulundu ve çalıştırılması engellendi. Analiz kuralını gözden geçirin ve ayarlayın. Kusto Sorgu Dili genel bakış ve en iyi yöntemler belgelerimize bakın. Sorgu tarafından çağrılan bir işlev bulunamadı. Çalışma alanınızda sorgu tarafından çağrılan tüm işlevlerin varlığını doğrulayın. Sorguda kullanılan çalışma alanı bulunamadı. Sorgudaki tüm çalışma alanlarının var olduğunu doğrulayın. Bu sorguyu çalıştırma izniniz yok. Analiz kuralını düzenleyip kaydederek (herhangi bir ayarı değiştirmeden) sıfırlamayı deneyin. Sorgudaki bir veya daha fazla kaynak için erişim izniniz yok. Sorgu, bulunamadı bir depolama yoluna başvuruda bulundu. Sorgunun depolama yoluna erişimi reddedildi. Bu çalışma alanında aynı ada sahip birden çok işlev tanımlanmıştır. Yedekli işlevi kaldırın veya yeniden adlandırın ve kuralı düzenleyip kaydederek sıfırlayın. Bu sorgu herhangi bir sonuç döndürmedi. Bu sorguda birden çok sonuç kümesine izin verilmiyor. Sorgu sonuçları satır başına tutarsız sayıda alan içerir. Kuralın çalışması, uzun veri alımı süreleri nedeniyle geciktirildi. Kuralın çalışması geçici sorunlar nedeniyle geciktirildi. Geçici sorunlar nedeniyle uyarı zenginleştirilmedi. Varlık eşleme sorunları nedeniyle uyarı zenginleştirilmedi. <32 KB uyarı boyutu sınırı nedeniyle sayı> varlıkları uyarı <adına> bırakıldı. <varlık eşleme sorunları nedeniyle sayı> varlıkları uyarı <adına> bırakıldı. Sorgu, satır başına uyarı olay gruplandırma yapılandırmasıyla kural türü> kuralları için <izin verilen sınır> sonuçları üst sınırını <aşan sayı> olaylarıyla sonuçlandı.< İlk <sınır 1> olayları için satır başına uyarı oluşturuldu ve tüm olayları hesaba eklemek için ek bir toplu uyarı oluşturuldu.
- <sayı> = sorgu tarafından döndürülen olayların sayısı
- <limit> = şu anda zamanlanmış kurallar için 150 uyarı, NRT kuralları için 30 uyarı
- <kural türü> = Zamanlanmış veya NRT
Denetim ve sistem durumu izleme çalışma kitabını kullanma
Çalışma kitabını çalışma alanınızda kullanılabilir hale getirmek için, çalışma kitabı çözümünü Microsoft Sentinel içerik hub'ından yüklemeniz gerekir:
Microsoft Sentinel portalından İçerik yönetimi menüsünde İçerik hub'ı (Önizleme) seçin.
İçerik hub'ında, arama çubuğuna sistem durumu yazın ve sonuçlarda Tek Başına altındaki Çalışma Kitabı çözümleri arasından Analiz Durumu ve Denetim'i seçin.
Ayrıntılar bölmesinden Yükle'yi ve ardından yerine görünen Kaydet'i seçin.
Çözüm yüklü olduğunu gösterdiğinde Tehdit yönetimi menüsünden Çalışma Kitapları'nı seçin.
Çalışma Kitapları galerisinde Şablonlar sekmesini seçin, arama çubuğuna sistem durumu yazın ve sonuçlar arasından Analiz Durumu ve Denetim'i seçin.
Çalışma kitabının düzenlenebilir ve kullanılabilir bir kopyasını oluşturmak için ayrıntılar bölmesinde Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.
Çalışma kitabına girdikten sonra, önce görüntülemek istediğiniz aboneliği ve çalışma alanını seçin (bunlar zaten seçili olabilir), ardından verileri gereksinimlerinize göre filtrelemek için TimeRange'i tanımlayın. Çalışma kitabının yerinde açıklamasını görüntülemek için Yardımı göster iki durumlu düğmesini kullanın.
Bu çalışma kitabında üç sekmeli bölüm vardır:
Genel bakış sekmesi
Genel Bakış sekmesinde sistem durumu ve denetim özetleri gösterilir:
- Analiz kuralının durumunun sistem durumu özetleri seçili çalışma alanında çalışır: çalıştırma sayısı, başarılar ve başarısızlıklar ve hata olayı ayrıntıları.
- Seçili çalışma alanında analiz kuralları üzerindeki etkinliklerin özetlerini denetleme: zaman içindeki etkinlik sayısı, türe göre etkinlik sayısı ve kurala göre farklı türlerdeki etkinliklerin sayısı.
Sistem Durumu sekmesi
Sistem Durumu sekmesi, belirli sistem durumu olaylarının detayına gitmenizi sağlar.
- Tüm sayfa verilerini duruma (başarılı/başarısız) ve kural türüne (zamanlanmış/NRT) göre filtreleyin.
- Seçilen zaman aralığındaki başarılı ve/veya başarısız kural çalıştırmalarının eğilimlerini (durum filtresine bağlı olarak) görün. Özgün zaman aralığının bir alt kümesini görmek için eğilim grafiğini "zaman fırçası" yapabilirsiniz.
- Sayfanın geri kalanını nedene göre filtreleyin.
- Pasta grafikte duruma göre orantılı olarak görüntülenen tüm analiz kurallarının toplam çalıştırma sayısına bakın.
- Aşağıda, kural türüne ve durumuna göre ayrılmış, çalıştırılan benzersiz analiz kurallarının sayısını gösteren bir tablo yer alır.
- Bu durum için kalan grafikleri filtrelemek için bir durum seçin.
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin.
- Bu durumun olası nedenlerinin sayısıyla birlikte her durumu görün. (Yalnızca seçilen zaman çerçevesindeki çalıştırmalarda temsil edilen nedenler gösterilir.)
- Bu durum için kalan grafikleri filtrelemek için bir durum seçin.
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin.
- Ardından, toplam kural çalıştırmalarının sayısını ve çalıştırılan benzersiz kuralların sayısını içeren bu nedenlerin listesine bakın.
- Bu nedenle aşağıdaki grafikleri filtrelemek için bir neden seçin.
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin.
- Bundan sonra, en son sonuçlar ve başarı ve/veya başarısızlık eğilim çizgileriyle (listeyi filtrelemek için seçilen duruma bağlı olarak) çalıştırılan benzersiz analiz kurallarının listesidir.
- Detaya gitmek ve bu kuralın tüm çalıştırmalarını içeren yeni bir tablo göstermek için bir kural seçin (seçilen zaman çerçevesinde).
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini ("Geri Al" simgesi gibi) seçerek bu tabloyu temizleyin.
- Yukarıdaki listeden bir kural seçtiyseniz, seçili kuralın sistem durumu ayrıntılarını içeren yeni bir tablo görüntülenir.
Denetim sekmesi
Denetim sekmesi, belirli denetim olaylarının detayına gitmenizi sağlar.
- Tüm sayfa verilerini denetim kuralı türüne (zamanlanmış/Fusion) göre filtreleyin.
- Seçilen zaman aralığında analiz kuralları üzerinde denetlenen etkinliğin eğilimlerine bakın. Özgün zaman aralığının bir alt kümesini görmek için eğilim grafiğini "zaman fırçası" yapabilirsiniz.
- Etkinlik ve kural türüne göre ayrılmış olarak denetlenen olayların sayısına bakın.
- Bu etkinlik için aşağıdaki grafikleri filtrelemek için bir etkinlik seçin.
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin.
- Kural adına göre denetlenen olayların sayısına bakın.
- Bu kural için aşağıdaki tabloyu filtrelemek ve bu kuraldaki tüm etkinlikle (seçilen zaman çerçevesinde) detaya gidip yeni bir tablo göstermek için bir kural adı seçin. (Aşağıdaki ekran görüntüsünden sonra bakın.)
- Grafiğin sağ üst köşesindeki "Seçimi temizle" simgesini (bir "Geri Al" simgesi gibi) seçerek filtreyi temizleyin.
- Arayan tarafından denetlenen olayların sayısını (etkinliği gerçekleştiren kimlik) görün.
- Yukarıda gösterilen grafikte bir kural adı seçtiyseniz, bu kuraldaki denetlenen etkinlikleri gösteren başka bir tablo görüntülenir. Kuralda yapılan değişiklikleri gösteren bir yan panel açmak için ExtendedProperties sütununda bağlantı olarak görünen değeri seçin.
Sonraki adımlar
- Microsoft Sentinel'de analiz kuralı yürütmeyi izleme ve iyileştirme.
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Microsoft Sentinel'de denetimi ve sistem durumu izlemeyi açın.
- Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
- Veri bağlayıcılarınızın durumunu izleyin.
- SentinelHealth ve SentinelAudit tablo şemaları hakkında daha fazla bilgi edinin.