Microsoft Sentinel 中的稽核和健康情況監視

Microsoft Sentinel 是一項重要的服務，可用來推進和保護組織技術和資訊資產的安全性，因此您會想要放心地確保一律順暢且不受干擾。 您將想要確保服務的許多移動元件一律如預期般運作，而且不論內部使用者或其他情況，服務不會由未經授權的動作操作。 您也可以設定健康情況漂移或未經授權的動作通知，以傳送給可回應或核准回應的相關專案關係人。 例如，您可以設定條件來觸發傳送電子郵件或 Microsoft Teams 訊息給作業小組、經理或主管、在您的票證系統中啟動新的票證等等。

本文說明 Microsoft Sentinel 的健康情況監視和稽核功能如何讓您監視部分服務重要資源的活動，以及檢查服務內使用者動作的記錄。

描述

本節說明健康情況監視和稽核元件的函式和使用案例。

資料儲存體

健康情況和稽核資料會在 Log Analytics 工作區的兩個數據表中收集：

• 健康情況資料會在 SentinelHealth 資料表中收集。
• 稽核資料會在 SentinelAudit 資料表中收集。

您將使用此資料的常見方式是查詢這些資料表。

為了獲得最佳結果，您應該在這些資料表上 預先建置的函 式上建置查詢， _SentinelHealth () 和 _SentinelAudit () ，而不是直接查詢資料表。 這些函式可確保在變更資料表本身的架構時，維護查詢的回溯相容性。

重要

• SentinelHealth和SentinelAudit資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款，請參閱 Microsoft Azure 預覽版增補使用規定。

• 監視劇本的健康情況時，除了 SentinelHealth 資料之外，您也需要從劇本擷取 Azure Logic Apps 診斷事件，以取得劇本活動的完整概觀。 Azure Logic Apps 診斷資料會收集於工作區的 AzureDiagnostics 資料表中。

使用案例

醫療

資料連接器是否正常執行？

資料連接器是否會接收資料？ 例如，如果您指示 Microsoft Sentinel 每隔 5 分鐘執行查詢一次，您會想要檢查該查詢是否正在執行、其執行方式，以及是否有任何與該查詢相關的風險或弱點。

自動化規則是否如預期般執行？

您的自動化規則在應該執行時執行，也就是何時符合其條件？ 自動化規則中的所有動作是否都成功執行？

分析規則是否如預期般執行？

您的分析規則在應該執行時是否執行，並產生結果？ 如果您預期會在佇列中看到特定事件，但未看到，您想要知道規則是否已執行，但找不到任何 (或足夠的專案) ，或完全未執行。

稽核

對分析規則進行未經授權的變更嗎？

規則中有變更嗎？ 您未從分析規則取得預期的結果，而且沒有任何健康情況問題。 您想要查看規則是否有任何非計劃性變更，如果是，則表示由誰、誰、從何處及何時進行變更。

Microsoft Sentinel 如何呈現健康情況和稽核資料

若要開始收集健康情況和稽核資料，您必須在 Microsoft Sentinel 設定中 啟用健康情況和稽核監視 。 然後，您可以深入探討 Microsoft Sentinel 收集的健康情況和稽核資料：

• 在 [Microsoft Sentinel Logs] 刀鋒視窗的[SentinelHealth] 和[SentinelAudit] 資料表上執行查詢。

  • 資料連接器
  • 自動化規則和劇本 (使用 Azure Logic Apps 診斷聯結查詢)
  • Analytics 規則

• 使用 Microsoft Sentinel 中提供的稽核和健全狀況監視活頁簿。

  • 資料連接器
  • 自動化規則和劇本
  • Analytics 規則

• 使用 Microsoft Sentinel 的執行管理工具來 監視和優化排程的分析規則執行。

• 將資料匯出至各種目的地，例如 Log Analytics 工作區、封存至儲存體帳戶等等。 了解針對記錄支援的目的地。

下一步

• 在 Microsoft Sentinel 中開啟稽核和健康情況監視。
• 監視自動化規則和劇本的健康情況。
• 監視資料連線器的健康情況。
• 監視分析規則的健康情況和完整性。
• 如需 SentinelHealth 和 SentinelAudit 資料表架構的詳細資訊，請參閱。

另請參閱：

• 使用 適用于 SAP 的 Microsoft Sentinel 解決方案嗎？ 也請監視其健康情況 。