Überwachen der Integrität Ihrer Datenconnectors
Um eine vollständige und unterbrechungsfreie Datenerfassung in Ihrem Microsoft Sentinel-Dienst zu gewährleisten, sollten Sie Integrität, Konnektivität und Leistung Ihrer Datenconnectors im Auge behalten.
Mit den folgenden Features können Sie diese Überwachung in Microsoft Sentinel bewerkstelligen:
Arbeitsmappe zur Integritätsüberwachung bei der Datensammlung: Diese Arbeitsmappe bietet zusätzliche Monitore, erkennt Anomalien und gibt Aufschluss über den Datenerfassungsstatus des Arbeitsbereichs. Sie können die Logik der Arbeitsmappe verwenden, um die allgemeine Integrität der erfassten Daten zu überwachen und benutzerdefinierte Ansichten und regelbasierte Warnungen zu erstellen.
Datentabelle SentinelHealth (Vorschau): Das Abfragen dieser Tabelle liefert Einblicke in Integritätsabweichungen, z. B. aktuelle Fehlerereignisse pro Connector oder Informationen zu Connectors, bei denen Änderungen vom Zustand „Erfolg“ in „Fehler“ aufgetreten sind, die Sie zum Erstellen von Warnungen und anderen automatisierten Aktionen verwenden können. Die SentinelHealth-Datentabelle wird derzeit nur für ausgewählte Datenconnectors unterstützt.
Wichtig
Die SentinelHealth-Datentabelle ist derzeit in VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Anzeigen der Integrität und des Status Ihrer verbundenen SAP-Systeme: Überprüfen Sie die Integritätsinformationen für Ihre SAP-Systeme unter dem SAP-Datenconnector, und verwenden Sie eine Warnungsregelvorlage, um Informationen zur Integrität der Datensammlung des SAP-Agents abzurufen.
Verwenden der Arbeitsmappe zur Überwachung der Integrität
Installieren Sie zunächst die Arbeitsmappe Überwachung der Datenerfassungsintegrität aus dem Inhaltshub, und sehen Sie sich die Vorlage aus dem Abschnitt Arbeitsmappen von Microsoft Sentinel an, oder erstellen Sie eine Kopie der Vorlage.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.Geben Sie im Inhaltshub auf der Suchleiste Integrität ein, und wählen Sie in den Ergebnissen Überwachung der Datenerfassungsintegrität aus.
Wählen Sie im Detailbereich Installieren aus. Wenn eine Benachrichtigung angezeigt wird, dass die Arbeitsmappe installiert ist, oder wenn anstelle von Installieren die Option Konfiguration angezeigt wird, fahren Sie mit dem nächsten Schritt fort.
Wählen Sie in Microsoft Sentinel unter Bedrohungsmanagement die Option Arbeitsmappen aus.
Wählen Sie auf der Seite Arbeitsmappen die Registerkarte Vorlagen aus, geben Sie auf der Suchleiste Integrität ein, und wählen Sie in den Ergebnissen Überwachung der Datenerfassungsintegrität aus.
Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe unverändert zu verwenden, oder wählen Sie Speichern aus, um eine bearbeitbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wurde, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.
Wählen Sie in der Arbeitsmappe zunächst das Abonnement und den Arbeitsbereich, den Sie anzeigen möchten, und definieren Sie dann den Zeitbereich, um die Daten gemäß Ihren Anforderungen zu filtern. Verwenden Sie die Umschaltfläche Hilfe anzeigen, um eine direkte Erläuterung der Arbeitsmappe anzuzeigen.
Diese Arbeitsmappe enthält drei Registerkartenabschnitte:
Auf der Registerkarte Übersicht wird der allgemeine Status der Datenerfassung im ausgewählten Arbeitsbereich angezeigt: Volumemeasures, EPS-Raten und die Zeit des letzten Protokollempfangs.
Mithilfe der Registerkarte Datensammlung: Anomalien können Sie Anomalien im Datensammlungsprozess nach Tabelle und Datenquelle erkennen. Auf den einzelnen Registerkarten werden Anomalien für eine bestimmte Tabelle angezeigt (die Registerkarte Allgemein enthält eine Sammlung von Tabellen). Die Anomalien werden mit der Funktion series_decompose_anomalies() berechnet, bei der eine Anomaliebewertung zurückgegeben wird. Lesen Sie die weiteren Informationen zu dieser Funktion. Legen Sie die folgenden Parameter für die auszuwertende Funktion fest:
AnomaliesTimeRange: Diese Zeitauswahl gilt nur für die Ansicht mit den Anomalien der Datensammlung.
SampleInterval: Das Zeitintervall, in dem für Daten im angegebenen Zeitbereich Stichproben genommen werden. Die Anomaliebewertung wird nur anhand der Daten des letzten Intervalls berechnet.
PositiveAlertThreshold: Mit diesem Wert wird der positive Schwellenwert für die Anomaliebewertung definiert. Akzeptiert werden Dezimalwerte.
NegativeAlertThreshold: Mit diesem Wert wird der negative Schwellenwert für die Anomaliebewertung definiert. Akzeptiert werden Dezimalwerte.
Auf der Registerkarte Informationen zum Agent werden Informationen zur Integrität der Agents angezeigt, die auf Ihren verschiedenen Computern installiert sind. Dabei kann es sich um virtuelle Azure-Computer, andere virtuelle Cloud-Computer, lokale virtuelle Computer oder physische Computer handeln. Überwachen Sie den Systemspeicherort, den Heartbeat-Status und die Latenz, verfügbaren Arbeitsspeicher und Speicherplatz auf dem Datenträger sowie Agent-Vorgänge.
In diesem Abschnitt müssen Sie die Registerkarte auswählen, die der Umgebung Ihrer Computer entspricht: Wählen Sie die Registerkarte Von Azure verwaltete Computer aus, wenn Sie nur die mit Azure Arc verwalteten Computer anzeigen möchten. Wählen Sie die Registerkarte Alle Computer aus, um sowohl verwaltete als auch Nicht-Azure-Computer mit dem installierten Azure Monitor-Agent anzuzeigen.
Verwenden der SentinelHealth-Datentabelle (Public Preview)
Um Datenconnector-Integritätsdaten aus der SentinelHealth-Datentabelle abzurufen, müssen Sie zunächst das Microsoft Sentinel-Integritätsfeature für Ihren Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren der Integritätsüberwachung für Microsoft Sentinel.
Sobald das Integritätsfeature aktiviert ist, wird die SentinelHealth-Datentabelle beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Datenconnectors generiert wird.
Unterstützte Datenconnectors
Die SentinelHealth-Datentabelle wird derzeit nur für folgende Datenconnectors unterstützt:
- Amazon Web Services (CloudTrail und S3)
- Dynamics 365
- Office 365
- Microsoft Defender für den Endpunkt
- Threat Intelligence – TAXII
- Threat Intelligence-Plattformen
- Beliebiger Connector auf Basis von Codeless Connector Platform
Grundlegendes zu SentinelHealth-Tabellenereignissen
Die folgenden Typen von Integritätsereignissen werden in der SentinelHealth-Tabelle protokolliert:
Änderung des Datenabrufstatus. Wird einmal pro Stunde protokolliert, solange der Status eines Datenconnectors stabil bleibt, mit kontinuierlichen Erfolgs- oder Fehlerereignissen. Solange sich der Status eines Datenconnectors nicht ändert, reicht die nur stündliche Überwachung aus, um eine redundante Überwachung zu verhindern und die Tabellengröße zu reduzieren. Wenn der Status des Datenconnectors fortlaufende Fehler aufweist, werden zusätzliche Details zu den Fehlern in der Spalte ExtendedProperties angezeigt.
Wenn sich der Status des Datenconnectors ändert, entweder von „Erfolg“ zu „Fehler“ oder von „Fehler“ zu „Erfolg“, oder wenn sich die Fehlerursachen ändern, wird das Ereignis sofort protokolliert, damit Ihr Team proaktive und sofortige Maßnahmen ergreifen kann.
Potenziell vorübergehende Fehler, z. B. die Drosselung des Quelldiensts, werden erst protokolliert, nachdem sie mehr als 60 Minuten lang bestanden haben. Diese 60 Minuten gestatten es Microsoft Sentinel, ein vorübergehendes Problem im Back-End zu lösen und bei den Daten aufzuholen, ohne dass eine Benutzeraktion erforderlich ist. Fehler, die definitiv nicht vorübergehend sind, werden sofort protokolliert.
Fehlerzusammenfassung. Wird einmal pro Stunde pro Connector und Arbeitsbereich mit einer aggregierten Fehlerzusammenfassung protokolliert. Fehlerzusammenfassungsereignisse werden nur erstellt, wenn bei dem Connector während der angegebenen Stunde Abruffehler aufgetreten sind. Sie enthalten alle zusätzlichen Details, die in der Spalte ExtendedProperties angegeben sind, z. B. den Zeitraum, für den die Quellplattform des Connectors abgefragt wurde, und eine eindeutige Liste von Fehlern, die während des Zeitraums aufgetreten sind.
Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.
Ausführen von Abfragen zum Erkennen von Integritätsabweichungen
Erstellen Sie Abfragen für die SentinelHealth-Tabelle, um Integritätsabweichungen in Ihren Datenconnectors zu erkennen. Beispiel:
Erkennen der neuesten Fehlerereignisse pro Connector:
SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'
Erkennen von Connectors mit Änderungen vom Zustand „Fehler“ zu „Erfolg“:
let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'
Erkennen von Connectors mit Änderungen vom Zustand „Erfolg“ zu „Fehler“:
let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'
Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:
- let Anweisung
- where-Operator
- project-Operator
- summarize-Operator
- join-Operator
- ago() Funktion
- arg_max()-Aggregationsfunktion
Weitere Informationen zu KQL finden Sie unter Kusto-Abfragesprache (Kusto Query Language, KQL) – Übersicht.
Weitere Ressourcen:
Konfigurieren von Warnungen und automatisierten Aktionen für Integritätsprobleme
Sie können zwar die Analyseregeln von Microsoft Sentinel verwenden, um die Automatisierung in Microsoft Sentinel-Protokollen zu konfigurieren, aber wenn Sie benachrichtigt werden und sofortige Maßnahmen für Integritätsabweichungen in Ihren Datenconnectors ergreifen möchten, empfehlen wir Ihnen, Azure Monitor-Warnungsregeln zu verwenden.
Beispiel:
Wählen Sie in einer Azure Monitor-Warnungsregel Ihren Microsoft Sentinel-Arbeitsbereich als Geltungsbereich der Regel und die benutzerdefinierte Protokollsuche als erste Bedingung aus.
Passen Sie die Warnungslogik nach Bedarf an, z. B. Häufigkeit oder Rückblickdauer, und verwenden Sie dann Abfragen, um nach Integritätsabweichungen zu suchen.
Wählen Sie für die Regelaktionen eine vorhandene Aktionsgruppe aus, oder erstellen Sie nach Bedarf eine neue Aktionsgruppe, um Pushbenachrichtigungen oder andere automatisierte Aktionen wie das Auslösen einer Logik-App, eines Webhooks oder einer Azure-Funktion in Ihrem System zu konfigurieren.
Weitere Informationen finden Sie unter Übersicht über Azure Monitor-Warnungen und Azure Monitor-Warnungsprotokoll.
Nächste Schritte
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Automatisierungsregeln und Playbooks.
- Überwachen der Integrität der Analyseregeln.
- Weitere Informationen finden Sie in den SentinelHealth- und SentinelAudit-Tabellenschemata.