為 Microsoft Sentinel 開啟稽核和狀況監控 (預覽版)
在 Microsoft Sentinel 的 [設定] 頁面中開啟稽核和狀況監控功能,以監視所支援 Microsoft Sentinel 資源的健康情況及稽核其完整性。 取得健康情況漂移見解 (例如,最新的失敗事件,或從成功到失敗狀態的變化,以及未經授權的動作),並使用此資訊來建立通知和其他自動化動作。
若要從 SentinelHealth 資料表取得健康情況資料,或從 SentinelAudit 資料表取得稽核資訊,您必須先開啟工作區的 Microsoft Sentinel 稽核和狀況監控功能。 本文指示您如何開啟這些功能。
若要使用 API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) 實作健康情況和稽核功能,請檢閱診斷設定作業。 若要設定稽核和健康情況事件的保留時間,請參閱在 Log Analytics 工作區中管理資料保留。
重要
SentinelHealth 和 SentinelAudit 資料表目前處於 [預覽] 狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
必要條件
- 開始之前,請先深入了解 Microsoft Sentinel 中的狀況監控和稽核。 如需詳細資訊,請參閱 Microsoft Sentinel 的稽核和狀況監控。
開啟工作區的稽核和狀況監控
在 Microsoft Sentinel 左側的 [設定] 功能表底下,選取 [設定]。
從橫幅中選取 [設定]。
向下捲動至 [稽核和狀況監控] 區段,然後選取它以展開。
選取 [啟用],以在所有資源類型上啟用稽核和狀況監控,並將稽核和監視資料傳送至 Microsoft Sentinel 工作區 (而不是其他地方)。
或者,選取 [設定診斷設定] 連結,只針對資料收集器和/或自動化資源啟用狀況監控,或設定進階選項,例如傳送資料的其他位置。
如果您選取 [啟用],則按鈕會呈現灰色且變成 [啟用中...],然後變成 [已啟用]。 屆時會啟用稽核和狀況監控,且您已完成! 適當的診斷設定是在幕後新增,而您可選取 [設定診斷設定] 連結來檢視和編輯這些設定。
如果您選取了 [[設定診斷設定],請在 [診斷設定] 畫面中,選取 [+ 新增診斷設定]。
(如果您要編輯現有的設定,請從診斷設定清單進行選取。)
在 [診斷設定名稱] 欄位中,為您的設定輸入有意義的名稱。
在 [記錄] 資料行中,針對您想要監視的資源類型選取適當的類別,例如 [資料收集 - 連接器]。 如果您想要監視分析規則,請選取 [allLogs]。
在 [目的地詳細資料] 底下,選取 [傳送至 Log Analytics 工作區],然後從下拉式功能表中選取您的訂用帳戶和 Log Analytics 工作區。
如果您需要,除了 Log Analytics 工作區之外,您也可選取要傳送資料的其他目的地。
選取頂端橫幅上的 [儲存] 以儲存您的新設定。
SentinelHealth 和 SentinelAudit 資料表會在為所選資源產生的第一個事件建立。
確認資料表正在接收資料
在 Microsoft Sentinel [記錄] 分頁中,於 SentinelHealth 資料表上執行查詢。 例如:
_SentinelHealth()
| take 20
支援的資料表和資源類型
當功能開啟時,SentinelHealth 和 SentinelAudit 資料表會在為所選資源產生的第一個事件建立。
Microsoft Sentinel 狀況監控目前支援下列資源類型:
- Analytics 規則
- 資料連接器
- 自動化規則
- 劇本 (Azure Logic Apps 工作流程)
注意
監控劇本健康情況時,務必要從劇本收集 Azure Logic Apps 診斷事件,以取得劇本活動的完整概觀。 如需詳細資訊,請參閱監控自動化規則和劇本的健康情況。
目前僅有分析規則資源類型支援稽核。