Microsoft Sentinel 中的稽核和健康情況監視
Microsoft Sentinel 是一項重要的服務,可用來推進和保護組織技術和資訊資產的安全性,因此您會想要放心地確保一律順暢且不受干擾。 您將想要確保服務的許多移動元件一律如預期般運作,而且不論內部使用者或其他情況,服務不會由未經授權的動作操作。 您也可以設定健康情況漂移或未經授權的動作通知,以傳送給可回應或核准回應的相關專案關係人。 例如,您可以設定條件來觸發傳送電子郵件或 Microsoft Teams 訊息給作業小組、經理或主管、在您的票證系統中啟動新的票證等等。
本文說明 Microsoft Sentinel 的健康情況監視和稽核功能如何讓您監視部分服務重要資源的活動,以及檢查服務內使用者動作的記錄。
描述
本節說明健康情況監視和稽核元件的函式和使用案例。
資料儲存體
健康情況和稽核資料會在 Log Analytics 工作區的兩個數據表中收集:
- 健康情況資料會在 SentinelHealth 資料表中收集。
- 稽核資料會在 SentinelAudit 資料表中收集。
您將使用此資料的常見方式是查詢這些資料表。
為了獲得最佳結果,您應該在這些資料表上 預先建置的函 式上建置查詢, _SentinelHealth () 和 _SentinelAudit () ,而不是直接查詢資料表。 這些函式可確保在變更資料表本身的架構時,維護查詢的回溯相容性。
重要
SentinelHealth和SentinelAudit資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
監視劇本的健康情況時,除了 SentinelHealth 資料之外,您也需要從劇本擷取 Azure Logic Apps 診斷事件,以取得劇本活動的完整概觀。 Azure Logic Apps 診斷資料會收集於工作區的 AzureDiagnostics 資料表中。
使用案例
醫療
資料連接器是否正常執行?
資料連接器是否會接收資料? 例如,如果您指示 Microsoft Sentinel 每隔 5 分鐘執行查詢一次,您會想要檢查該查詢是否正在執行、其執行方式,以及是否有任何與該查詢相關的風險或弱點。
自動化規則是否如預期般執行?
您的自動化規則在應該執行時執行,也就是何時符合其條件? 自動化規則中的所有動作是否都成功執行?
分析規則是否如預期般執行?
您的分析規則在應該執行時是否執行,並產生結果? 如果您預期會在佇列中看到特定事件,但未看到,您想要知道規則是否已執行,但找不到任何 (或足夠的專案) ,或完全未執行。
稽核
對分析規則進行未經授權的變更嗎?
規則中有變更嗎? 您未從分析規則取得預期的結果,而且沒有任何健康情況問題。 您想要查看規則是否有任何非計劃性變更,如果是,則表示由誰、誰、從何處及何時進行變更。
Microsoft Sentinel 如何呈現健康情況和稽核資料
若要開始收集健康情況和稽核資料,您必須在 Microsoft Sentinel 設定中 啟用健康情況和稽核監視 。 然後,您可以深入探討 Microsoft Sentinel 收集的健康情況和稽核資料:
在 [Microsoft Sentinel Logs] 刀鋒視窗的[SentinelHealth] 和[SentinelAudit] 資料表上執行查詢。
- 資料連接器
- 自動化規則和劇本 (使用 Azure Logic Apps 診斷聯結查詢)
- Analytics 規則
使用 Microsoft Sentinel 中提供的稽核和健全狀況監視活頁簿。
使用 Microsoft Sentinel 的執行管理工具來 監視和優化排程的分析規則執行。
將資料匯出至各種目的地,例如 Log Analytics 工作區、封存至儲存體帳戶等等。 了解針對記錄支援的目的地。
下一步
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視。
- 監視自動化規則和劇本的健康情況。
- 監視資料連線器的健康情況。
- 監視分析規則的健康情況和完整性。
- 如需 SentinelHealth 和 SentinelAudit 資料表架構的詳細資訊,請參閱。
另請參閱: