為 Microsoft Sentinel 開啟稽核和狀況監控 (預覽版)

• 適用於:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

在 Microsoft Sentinel 的 [設定] 頁面中開啟稽核和狀況監控功能，以監視所支援 Microsoft Sentinel 資源的健康情況及稽核其完整性。 取得健康情況漂移見解 (例如，最新的失敗事件，或從成功到失敗狀態的變化，以及未經授權的動作)，並使用此資訊來建立通知和其他自動化動作。

若要從 SentinelHealth 資料表取得健康情況資料，或從 SentinelAudit 資料表取得稽核資訊，您必須先開啟工作區的 Microsoft Sentinel 稽核和狀況監控功能。 本文指示您如何開啟這些功能。

若要使用 API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) 實作健康情況和稽核功能，請檢閱診斷設定作業。 若要設定稽核和健康情況事件的保留時間，請參閱在 Log Analytics 工作區中管理資料保留。

重要

SentinelHealth 和 SentinelAudit 資料表目前處於 [預覽] 狀態。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

必要條件

• 開始之前，請先深入了解 Microsoft Sentinel 中的狀況監控和稽核。 如需詳細資訊，請參閱 Microsoft Sentinel 的稽核和狀況監控。

開啟工作區的稽核和狀況監控

若要開始使用，請從 sentinel 設定Microsoft啟用稽核和健康情況監視。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，請在 [組態] 底下，選取 [設定設定>]。
   針對 Defender 入口網站中的 Microsoft Sentinel，請在 [系統] 底下，選取 [設定>Microsoft Sentinel]。

2. 選取 [ 稽核與健康情況監視]。

3. 選取 [啟用]，以在所有資源類型上啟用稽核和狀況監控，並將稽核和監視資料傳送至 Microsoft Sentinel 工作區 (而不是其他地方)。

   或者，選取 [設定診斷設定] 連結，只針對資料收集器和/或自動化資源啟用狀況監控，或設定進階選項，例如傳送資料的其他位置。

   Azure 入口網站

   

   Defender 入口網站

   

   如果您選取 [啟用]，則按鈕會呈現灰色且變成 [啟用中...]，然後變成 [已啟用]。 屆時會啟用稽核和狀況監控，且您已完成！ 適當的診斷設定是在幕後新增，而您可選取 [設定診斷設定] 連結來檢視和編輯這些設定。

4. 如果您選取了 [[設定診斷設定]，請在 [診斷設定] 畫面中，選取 [+ 新增診斷設定]。

   (如果您要編輯現有的設定，請從診斷設定清單進行選取。)

   • 在 [診斷設定名稱] 欄位中，為您的設定輸入有意義的名稱。

   • 在 [記錄] 資料行中，針對您想要監視的資源類型選取適當的類別，例如 [資料收集 - 連接器]。 如果您想要監視分析規則，請選取 [allLogs]。

   • 在 [目的地詳細資料] 底下，選取 [傳送至 Log Analytics 工作區]，然後從下拉式功能表中選取您的訂用帳戶和 Log Analytics 工作區。

     

     如果您需要，除了 Log Analytics 工作區之外，您也可選取要傳送資料的其他目的地。

5. 選取頂端橫幅上的 [儲存] 以儲存您的新設定。

SentinelHealth 和 SentinelAudit 資料表會在為所選資源產生的第一個事件建立。

確認資料表正在接收資料

在 Azure 入口網站 或 Defender 入口網站中執行 Kusto 查詢語言 （KQL） 查詢，以確定您取得健康情況和稽核數據。

1. 針對 Azure 入口網站中的 Microsoft Sentinel，在 [一般] 下，選取 [記錄]。
   針對 Defender 入口網站中的Microsoft Sentinel，請在 [調查與回應] 底下，選取 [搜捕進階搜>捕]。

2. 在 SentinelHealth 數據表上執行查詢。 例如：

   _SentinelHealth()
    | take 20
   

3. 在 SentinelAudit 數據表上執行查詢。 例如：

   _SentinelAudit()
    | take 20
   

支援的資料表和資源類型

當功能開啟時，SentinelHealth 和 SentinelAudit 資料表會在為所選資源產生的第一個事件建立。

Microsoft Sentinel 狀況監控目前支援下列資源類型：

• Analytics 規則
• 資料連接器
• 自動化規則
• 劇本 (Azure Logic Apps 工作流程)

注意

監控劇本健康情況時，務必要從劇本收集 Azure Logic Apps 診斷事件，以取得劇本活動的完整概觀。 如需詳細資訊，請參閱監控自動化規則和劇本的健康情況。

目前僅有分析規則資源類型支援稽核。

下一步

• 瞭解 Microsoft Sentinel 中的稽核和狀況監控。
• 監視資料連接器的健康情況。
• 監視分析規則的健康情況和完整性。