Microsoft Sentinel 中的稽核和狀況監控
Microsoft Sentinel 是推進和保護組織技術和資訊資產安全性的重要服務,因此您應該確保它的運作順暢且不受干擾。
您想要確認服務的許多行動元件一律如預期般運作,且沒有被內部使用者或其他人未經授權的動作所操控。 您也可能想設定健康情況漂移或未經授權動作的通知,以傳送通知給可回應或核准回應的相關項目關係人。 例如,您可以設定條件來觸發傳送電子郵件或 Microsoft Teams 訊息給營運小組、經理或主管,在您的票證系統中啟動新票證等等。
此文章會描述 Microsoft Sentinel 的狀況監控和稽核功能如何讓您監視某些服務重要資源的活動,並檢查服務內使用者動作的記錄。
健康情況和稽核資料儲存空間
會在 Log Analytics 工作區以下兩個資料表中收集健康情況和稽核資料:SentinelHealth 和 SentinelAudit
SentinelAudit 資料表會收集稽核資料。
SentinelHealth 資料表會收集健康資料,它會擷取每次執行自動化規則時記錄的事件,以及這些執行的最終結果。 SentinelHealth 資料表會包含:
- 規則中啟動的動作是否成功或失敗,以及規則所呼叫的劇本。
- 記錄隨選 (手動或 API 型) 劇本觸發的事件,包括觸發劇本的身分識別,以及這些執行的最終結果
SentinelHealth 資料表不包含劇本內容的執行記錄,僅包含劇本是否成功啟動。 AzureDiagnostics 資料表會列出劇本内 (也就是 Logic Apps 工作流程) 所採取的動作之記錄。 AzureDiagnostics 可讓您在與 SentinelHealth 資料搭配使用時,完整瞭解自動化健康情況。
您使用此資料最常見的方式是查詢這些資料表。 為了獲得最佳結果,請在這些資料表的預先建置函式 (_SentinelHealth() 和 _SentinelAudit()) 上建置查詢,而不是直接查詢資料表。 這些函式可確保在對資料表本身結構描述進行變更時,維護您查詢的回溯相容性。
SentinelHealth 資料表無法計費,而且不會產生擷取健康情況資料的費用。 SentinelAudit 資料表則可計費,且如同在Microsoft Sentinel 的其他區域中一樣,產生的成本會取決於記錄磁碟區,這可能會受到相關規則的活動數目和變更所影響。 如需詳細資訊,請參閱規劃成本及了解 Microsoft Sentinel 定價和計費。
重要
SentinelHealth 和 SentinelAudit 資料表目前處於 [預覽] 狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
驗證服務健康情況和稽核資料的問題
使用下列問題來引導您監視 Microsoft Sentinel 的健康情況和稽核資料:
資料連接器是否正常執行?
資料連接器是否會接收資料? 例如,如果您指示 Microsoft Sentinel 每隔 5 分鐘執行查詢一次,您會想要檢查該查詢是否正在執行、其執行方式,以及是否有任何與該查詢相關的風險或弱點。
自動化規則是否如預期般執行?
自動化規則是否會在應該執行時執行 - 也就是在符合其條件時執行? 自動化規則中的所有動作是否都成功執行?
自動化規則是否如預期般執行?
分析規則是否會在應該執行時執行,它是否有產生結果? 如果您預期會在佇列中看到特定事件,但沒有看到,您想知道規則是否已執行,但找不到任何專案 (或足夠的專案),還是根本未執行。
未經授權的變更是用來分析規則的嗎?
規則中有變更嗎? 您沒有從分析規則中取得預期的結果,而且它沒有任何健康情況問題。 您想要查看規則是否有任何非計劃性的變更,如果有,有何變更、由誰變更、及從何處及何時進行變更。
健康情況和稽核監視流程
若要開始收集健康情況和稽核資料,您必須啟用 Microsoft Sentinel 設定中的健康情況和稽核監視。 若要深入了解 Microsoft Sentinel 收集的健康情況和稽核資料,您可以:
| 活動 | 其他相關資訊 |
|---|---|
| 從 Microsoft Sentinel [記錄] 頁面的 [SentinelHealth] 和 [SentinelAudit] 資料資料表上執行查詢。 | |
| 使用 Microsoft Sentinel 中提供的稽核和狀況監控活頁簿。 | |
| 使用 Microsoft Sentinel 的執行管理工具 來監視和最佳化排程分析規則的執行 | |
| 將資料匯出至各種目的地,例如 Log Analytics 工作區、封存至儲存體帳戶等等。 |
相關內容
- 在 Microsoft Sentinel 中開啟稽核和狀況監控
- 監視自動化規則和劇本的健康情況
- 監視資料連接器的健康情況
- 監視分析規則的健康情況和完整性
- 監視 SAP 系統健康狀態
- SentinelHealth 和 SentinelAudit 資料表結構描述。