開啟 Microsoft Sentinel (預覽版的稽核和健康情況監視)

在 Microsoft Sentinel 的 [ 設定 ] 頁面中開啟稽核和健全狀況監視功能，以監視支援的 Microsoft Sentinel 資源健康情況，並稽核支援之 Microsoft Sentinel 資源的完整性。 取得健康情況漂移的深入解析，例如最新的失敗事件或從成功到失敗狀態的變更，以及未經授權的動作，以及使用此資訊來建立通知和其他自動化動作。

若要從 SentinelHealth 資料表取得健康情況資料，或從 SentinelAudit 資料表取得稽核資訊，您必須先開啟工作區的 Microsoft Sentinel 稽核和健康情況監視功能。

本文會指示您如何開啟這些功能。

若要使用 API (Bicep/ARM/REST) 來實作健康情況和稽核功能，請檢閱 診斷設定作業。

若要設定稽核和健康情況事件的保留時間，請參閱 在 Azure 監視器記錄中設定資料保留和封存原則。

重要

SentinelHealth和SentinelAudit資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款，請參閱 Microsoft Azure 預覽版增補使用規定。

資料表和資源類型

當功能開啟時， SentinelHealth 和 SentinelAudit 資料表會在為選取的資源產生第一個事件時建立。

目前支援下列資源類型來進行健康情況監視：

• 分析規則 (New！)
• 資料連接器
• 自動化規則
• 劇本 (Azure Logic Apps 工作流程)

  注意

  監視劇本健康情況時，您也需要從劇本收集 Azure Logic Apps 診斷事件，以便取得劇本活動的完整概觀。 如需詳細資訊，請參閱監視自動化規則和劇本的健康情況。

目前僅支援稽核分析規則資源類型。

開啟工作區的稽核和健全狀況監視

1. 在 Microsoft Sentinel 左側的 [設定] 功能表底下，選取 [設定]。

2. 從橫幅中選取 [設定]。

3. 向下捲動至下方顯示的 [ 稽核和健康情況監視 ] 區段，然後選取它以展開。

4. 選取 [啟用 ] 可啟用所有資源類型的稽核和健康情況監視，並將稽核和監視資料傳送至 Microsoft Sentinel 工作區 (，而沒有其他任何位置) 。

   或者，選取 [ 設定診斷設定 ] 連結，只針對資料收集器和/或自動化資源啟用健康情況監視，或設定進階選項，例如傳送資料的其他位置。

   

   如果您選取 [ 啟用]，則按鈕會呈現灰色，並變更為 [ 啟用... ]，然後 [已啟用]。 此時，會啟用稽核和健康情況監視，而且您已完成！ 適當的診斷設定是在幕後新增，您可以選取 [ 設定診斷設定 ] 連結來檢視和編輯這些設定。

5. 如果您選取 [ 設定診斷設定]，請在 [ 診斷設定 ] 畫面中，選取 [+ 新增診斷設定]。

   (如果您要編輯現有的設定，請從診斷設定清單中選取它。)

   • 在 [診斷設定名稱] 欄位中，為您的設定輸入有意義的名稱。

   • 在 [記錄] 資料行中，針對您想要監視的資源類型選取適當的類別，例如 [資料收集 - 連接器]。 如果您想要監視分析規則，請選取 allLogs 。

   • 在 [目的地詳細資料] 底下，選取 [傳送至 Log Analytics 工作區]，然後從下拉式功能表中選取您的訂用帳戶和 Log Analytics 工作區。

     

     如果您需要，除了 Log Analytics 工作區之外，您也可以選取要傳送資料的其他目的地。

6. 選取頂端橫幅上的 [儲存] 以儲存您的新設定。

SentinelHealth和SentinelAudit資料表會在為選取的資源產生的第一個事件建立。

確認資料表正在接收資料

在 Microsoft Sentinel [記錄] 分頁中，於 SentinelHealth 資料表上執行查詢。 例如：

_SentinelHealth()
 | take 20

後續步驟

• 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
• 監視自動化規則和劇本的健康情況。
• 監視資料連線器的健康情況。
• 監視分析規則的健康情況和完整性。
• 請參閱 SentinelHealth 和 SentinelAudit 資料表架構的詳細資訊。