分享方式:


Microsoft Sentinel 中的稽核和狀況監控

Microsoft Sentinel 是推進和保護組織技術和資訊資產安全性的重要服務,因此您應該確保它的運作順暢且不受干擾。

您想要確認服務的許多行動元件一律如預期般運作,且沒有被內部使用者或其他人未經授權的動作所操控。 您也可能想設定健康情況漂移或未經授權動作的通知,以傳送通知給可回應或核准回應的相關項目關係人。 例如,您可以設定條件來觸發傳送電子郵件或 Microsoft Teams 訊息給營運小組、經理或主管,在您的票證系統中啟動新票證等等。

此文章會描述 Microsoft Sentinel 的狀況監控和稽核功能如何讓您監視某些服務重要資源的活動,並檢查服務內使用者動作的記錄。

健康情況和稽核資料儲存空間

會在 Log Analytics 工作區以下兩個資料表中收集健康情況和稽核資料:SentinelHealthSentinelAudit

SentinelAudit 資料表會收集稽核資料

SentinelHealth 資料表會收集健康資料,它會擷取每次執行自動化規則時記錄的事件,以及這些執行的最終結果。 SentinelHealth 資料表會包含:

  • 規則中啟動的動作是否成功或失敗,以及規則所呼叫的劇本。
  • 記錄隨選 (手動或 API 型) 劇本觸發的事件,包括觸發劇本的身分識別,以及這些執行的最終結果

SentinelHealth 資料表不包含劇本內容的執行記錄,僅包含劇本是否成功啟動。 AzureDiagnostics 資料表會列出劇本内 (也就是 Logic Apps 工作流程) 所採取的動作之記錄。 AzureDiagnostics 可讓您在與 SentinelHealth 資料搭配使用時,完整瞭解自動化健康情況。

您使用此資料最常見的方式是查詢這些資料表。 為了獲得最佳結果,請在這些資料表的預先建置函式 (_SentinelHealth()_SentinelAudit()) 上建置查詢,而不是直接查詢資料表。 這些函式可確保在對資料表本身結構描述進行變更時,維護您查詢的回溯相容性。

SentinelHealth 資料表無法計費,而且不會產生擷取健康情況資料的費用。 SentinelAudit 資料表則可計費,且如同在Microsoft Sentinel 的其他區域中一樣,產生的成本會取決於記錄磁碟區,這可能會受到相關規則的活動數目和變更所影響。 如需詳細資訊,請參閱規劃成本及了解 Microsoft Sentinel 定價和計費

重要

SentinelHealthSentinelAudit 資料表目前處於 [預覽] 狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

驗證服務健康情況和稽核資料的問題

使用下列問題來引導您監視 Microsoft Sentinel 的健康情況和稽核資料:

資料連接器是否正常執行?

資料連接器是否會接收資料? 例如,如果您指示 Microsoft Sentinel 每隔 5 分鐘執行查詢一次,您會想要檢查該查詢是否正在執行、其執行方式,以及是否有任何與該查詢相關的風險或弱點。

自動化規則是否如預期般執行?

自動化規則是否會在應該執行時執行 - 也就是在符合其條件時執行? 自動化規則中的所有動作是否都成功執行?

自動化規則是否如預期般執行?

分析規則是否會在應該執行時執行,它是否有產生結果? 如果您預期會在佇列中看到特定事件,但沒有看到,您想知道規則是否已執行,但找不到任何專案 (或足夠的專案),還是根本未執行。

未經授權的變更是用來分析規則的嗎?

規則中有變更嗎? 您沒有從分析規則中取得預期的結果,而且它沒有任何健康情況問題。 您想要查看規則是否有任何非計劃性的變更,如果有,有何變更、由誰變更、及從何處及何時進行變更。

健康情況和稽核監視流程

若要開始收集健康情況和稽核資料,您必須啟用 Microsoft Sentinel 設定中的健康情況和稽核監視。 若要深入了解 Microsoft Sentinel 收集的健康情況和稽核資料,您可以:

活動 其他相關資訊
從 Microsoft Sentinel [記錄] 頁面的 [SentinelHealth] 和 [SentinelAudit] 資料資料表上執行查詢
  • 資料連接器
  • 自動化規則和劇本 (使用 Azure Logic Apps 診斷聯結查詢)
  • 分析規則
  • 使用 Microsoft Sentinel 中提供的稽核和狀況監控活頁簿
  • 資料連接器
  • 自動化規則和劇本
  • 分析規則
  • 使用 Microsoft Sentinel 的執行管理工具 來監視和最佳化排程分析規則的執行
  • 監視並最佳化排程分析規則的執行
  • 將資料匯出至各種目的地,例如 Log Analytics 工作區、封存至儲存體帳戶等等。
  • Azure 監視器中的診斷設定