Freigeben über


Überprüfung und Systemüberwachung in Microsoft Sentinel

Microsoft Sentinel ist ein wichtiger Dienst, um die Sicherheit der Technologie- und Informationsressourcen Ihrer Organisation zu fördern und zu schützen. Daher sollten Sie sicher sein, dass er immer reibungslos und störungsfrei funktioniert.

Sie möchten sicherstellen, dass die vielen beweglichen Teile des Diensts immer wie vorgesehen funktionieren und er nicht durch nicht autorisierte Aktionen manipuliert wird, sei es durch interne Benutzer*innen oder auf andere Weise. Sie können auch Benachrichtigungen über Integritätsabweichungen oder nicht autorisierte Aktionen konfigurieren, die an relevante Stakeholder gesendet werden, die antworten oder eine Antwort genehmigen können. So können Sie z. B. Bedingungen festlegen, die das Senden von E-Mail- oder Microsoft Teams-Nachrichten an Betriebsteams, Führungskräfte oder Operatoren bzw. das Eröffnen neuer Tickets in Ihrem Ticketsystem auslösen usw.

In diesem Artikel wird beschrieben, wie Sie mithilfe der Systemüberwachung und der Überwachungsfeatures von Microsoft Sentinel die Aktivität einiger wichtiger Ressourcen des Diensts überwachen und Protokolle von Benutzeraktionen innerhalb des Diensts überprüfen können.

Integrität und Überwachung der Datenspeicherung

Integritäts- und Überwachungsdaten werden in zwei Tabellen in Ihrem Log Analytics-Arbeitsbereich gesammelt: SentinelHealth und SentinelAudit

Überwachungsdaten werden in der Tabelle SentinelAudit erfasst.

Integritätsdaten werden in der SentinelHealth-Tabelle gesammelt, die Ereignisse erfasst, die jedes Mal aufzeichnen, wenn eine Automatisierungsregel ausgeführt wird, und die Endergebnisse dieser Ausführung. Die SentinelHealth-Tabelle enthält:

  • Gibt an, ob Aktionen, die in der Regel gestartet wurden, erfolgreich oder fehlgeschlagen sind, und die von der Regel aufgerufenen Playbooks.
  • Ereignisse, welche die On-Demand-Triggerung (manuell oder API-basiert) von Playbooks aufzeichnen, einschließlich der Identitäten, die sie ausgelöst haben, und die Endergebnisse dieser Ausführung

Die SentinelHealth-Tabelle enthält keinen Datensatz der Ausführung eines Playbook-Inhalts, sondern nur, ob das Playbook erfolgreich gestartet wurde. Ein Protokoll der in einem Playbook ausgeführten Aktionen, bei denen es sich um Logic Apps-Workflows handelt, werden in der AzureDiagnostics-Tabelle aufgeführt. Die AzureDiagnostics bietet Ihnen ein vollständiges Bild Ihrer Automatisierungsintegrität, wenn sie zusammen mit den SentinelHealth-Daten verwendet wird.

Diese Daten verwenden Sie meistens beim Abfragen dieser Tabellen. Um optimale Ergebnisse zu erzielen, erstellen Sie Ihre Abfragen basierend auf den vordefinierten Funktionen für die Tabellen _SentinelHealth() und _SentinelAudit(), anstatt die Tabellen direkt abzufragen. Diese Funktionen stellen die Aufrechterhaltung der Abwärtskompatibilität Ihrer Abfragen sicher, falls Änderungen am Schema der Tabellen selbst vorgenommen werden.

Die Tabelle SentinelHealth ist nicht abrechenbar und verursacht keine Gebühren für die Erfassung von Integritätsdaten. Für die Tabelle SentinelAudit fallen Gebühren an. Wie in anderen Bereichen von Microsoft Sentinel hängen die anfallenden Kosten vom Protokollvolumen ab, das von der Anzahl der Aktivitäten und Änderungen an den zugehörigen Regeln beeinflusst werden kann. Weitere Informationen finden Sie unter Planen der Kosten und Verstehen der Preise und Abrechnungen für Microsoft Sentinel.

Wichtig

Die Datentabellen SentinelHealth und SentinelAudit befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Fragen zur Überprüfung des Dienststatus und der Überwachungsdaten

Verwenden Sie die folgenden Fragen, um Ihre Überwachung der Integritäts- und Überwachungsdaten von Microsoft Sentinel zu unterstützen:

Wird der Datenconnector ordnungsgemäß ausgeführt?

Empfängt der Datenconnector Daten? Wenn Sie beispielsweise Microsoft Sentinel angewiesen haben, alle 5 Minuten eine Abfrage auszuführen, sollten Sie überprüfen, ob diese Abfrage ausgeführt wird, wie ihre Leistung ist und ob es Sicherheitsrisiken im Zusammenhang mit der Abfrage gibt.

Wurde eine Automatisierungsregel wie erwartet ausgeführt?

Wurde die Automatisierungsregel zum gewünschten Zeitpunkt ausgeführt, d. h., wenn ihre Bedingungen erfüllt waren? Wurden alle Aktionen in der Automatisierungsregel erfolgreich ausgeführt?

Wurde eine Analyseregel wie erwartet ausgeführt?

Wurde Ihre Analyseregel zum gewünschten Zeitpunkt ausgeführt und hat sie Ergebnisse generiert? Wenn Sie erwarten, dass bestimmte Vorfälle in Ihrer Warteschlange angezeigt werden, dies aber nicht der Fall ist, möchten Sie wissen, ob die Regel ausgeführt wurde, aber nichts (oder nicht genügend) gefunden hat, oder überhaupt nicht ausgeführt wurde.

Wurden nicht autorisierte Änderungen an einer Analyseregel vorgenommen?

Wurde an der Regel etwas geändert? Sie haben nicht die Ergebnisse erhalten, die Sie von Ihrer Analyseregel erwartet haben, und Sie hatten keine Integritätsprobleme. Sie möchten ermitteln, ob ungeplante Änderungen an der Regel vorgenommen wurden, und wenn dies der Fall ist, welche Änderungen von wem, wo und wann vorgenommen wurden.

Integritäts- und Überwachungsablauf

Um mit der Erfassung von Integritäts- und Überprüfungsdaten zu beginnen, müssen Sie die Überprüfung und Systemüberwachung in den Microsoft Sentinel-Einstellungen aktivieren. Anschließend können Sie sich mit den Integritäts- und Überprüfungsdaten befassen, die Microsoft Sentinel erfasst:

Aktivität Weitere Informationen
Ausführen von Abfragen für die Datentabellen SentinelHealth und SentinelAudit auf der Microsoft Sentinel-Seite Protokolle
  • Datenconnectors
  • Automatisierungsregeln und Playbooks (Joinabfrage mit Azure Logic Apps-Diagnose)
  • Analyseregeln
  • Verwenden der Arbeitsmappen zur Überprüfung und Systemüberwachung von Microsoft Sentinel
  • Datenconnectors
  • Automatisierungsregeln und Playbooks
  • Analyseregeln
  • Verwenden der Ausführungsverwaltungstools von Microsoft Sentinel, um die Ausführung geplanter Analyseregeln zu überwachen und zu optimieren
  • Überwachen und Optimieren der Ausführung Ihrer geplanten Analyseregeln
  • Exportieren der Daten in verschiedene Ziele, z. B. Ihren Log Analytics-Arbeitsbereich, Archivieren in einem Speicherkonto und vieles mehr
  • Diagnoseeinstellungen in Azure Monitor