開啟 Microsoft Sentinel (預覽版的稽核和健康情況監視)
在 Microsoft Sentinel 的 [ 設定 ] 頁面中開啟稽核和健全狀況監視功能,以監視支援的 Microsoft Sentinel 資源健康情況,並稽核支援之 Microsoft Sentinel 資源的完整性。 取得健康情況漂移的深入解析,例如最新的失敗事件或從成功到失敗狀態的變更,以及未經授權的動作,以及使用此資訊來建立通知和其他自動化動作。
若要從 SentinelHealth 資料表取得健康情況資料,或從 SentinelAudit 資料表取得稽核資訊,您必須先開啟工作區的 Microsoft Sentinel 稽核和健康情況監視功能。
本文會指示您如何開啟這些功能。
若要使用 API (Bicep/ARM/REST) 來實作健康情況和稽核功能,請檢閱 診斷設定作業。
若要設定稽核和健康情況事件的保留時間,請參閱 在 Azure 監視器記錄中設定資料保留和封存原則。
重要
SentinelHealth和SentinelAudit資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
資料表和資源類型
當功能開啟時, SentinelHealth 和 SentinelAudit 資料表會在為選取的資源產生第一個事件時建立。
目前支援下列資源類型來進行健康情況監視:
- 分析規則 (New!)
- 資料連接器
- 自動化規則
- 劇本 (Azure Logic Apps 工作流程)
注意
監視劇本健康情況時,您也需要從劇本收集 Azure Logic Apps 診斷事件,以便取得劇本活動的完整概觀。 如需詳細資訊,請參閱監視自動化規則和劇本的健康情況。
目前僅支援稽核分析規則資源類型。
開啟工作區的稽核和健全狀況監視
在 Microsoft Sentinel 左側的 [設定] 功能表底下,選取 [設定]。
從橫幅中選取 [設定]。
向下捲動至下方顯示的 [ 稽核和健康情況監視 ] 區段,然後選取它以展開。
選取 [啟用 ] 可啟用所有資源類型的稽核和健康情況監視,並將稽核和監視資料傳送至 Microsoft Sentinel 工作區 (,而沒有其他任何位置) 。
或者,選取 [ 設定診斷設定 ] 連結,只針對資料收集器和/或自動化資源啟用健康情況監視,或設定進階選項,例如傳送資料的其他位置。
如果您選取 [ 啟用],則按鈕會呈現灰色,並變更為 [ 啟用... ],然後 [已啟用]。 此時,會啟用稽核和健康情況監視,而且您已完成! 適當的診斷設定是在幕後新增,您可以選取 [ 設定診斷設定 ] 連結來檢視和編輯這些設定。
如果您選取 [ 設定診斷設定],請在 [ 診斷設定 ] 畫面中,選取 [+ 新增診斷設定]。
(如果您要編輯現有的設定,請從診斷設定清單中選取它。)
在 [診斷設定名稱] 欄位中,為您的設定輸入有意義的名稱。
在 [記錄] 資料行中,針對您想要監視的資源類型選取適當的類別,例如 [資料收集 - 連接器]。 如果您想要監視分析規則,請選取 allLogs 。
在 [目的地詳細資料] 底下,選取 [傳送至 Log Analytics 工作區],然後從下拉式功能表中選取您的訂用帳戶和 Log Analytics 工作區。
如果您需要,除了 Log Analytics 工作區之外,您也可以選取要傳送資料的其他目的地。
選取頂端橫幅上的 [儲存] 以儲存您的新設定。
SentinelHealth和SentinelAudit資料表會在為選取的資源產生的第一個事件建立。
確認資料表正在接收資料
在 Microsoft Sentinel [記錄] 分頁中,於 SentinelHealth 資料表上執行查詢。 例如:
_SentinelHealth()
| take 20
後續步驟
- 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
- 監視自動化規則和劇本的健康情況。
- 監視資料連線器的健康情況。
- 監視分析規則的健康情況和完整性。
- 請參閱 SentinelHealth 和 SentinelAudit 資料表架構的詳細資訊。