Partage via


Monitorer l’intégrité de vos règles d’automatisation et playbooks

Pour garantir le bon fonctionnement et les performances de vos opérations d’orchestration de la sécurité, d’automatisation et de réponse dans votre service Microsoft Sentinel, suivez l’intégrité de vos règles d’automatisation et de vos playbooks en monitorant leurs journaux d’exécution.

Configurez des notifications d’événements d’intégrité pour les parties prenantes concernées, qui peuvent ensuite prendre des mesures. Par exemple, définissez et envoyez des e-mails ou des messages Microsoft Teams, créez des tickets dans votre système de gestion de tickets, etc.

Cet article décrit comment utiliser les fonctionnalités de monitoring de l’intégrité de Microsoft Sentinel pour surveiller l’intégrité de vos règles d’automatisation et playbooks à partir de Microsoft Sentinel. Pour plus d’informations, consultez Audit et monitoring de l’intégrité dans Microsoft Sentinel.

Utilisez la table de données SentinelHealth (préversion publique)

Pour obtenir les données d’intégrité de l’automatisation à partir de la table de données SentinelHealth, activez d’abord la fonctionnalité d’intégrité Microsoft Sentinel pour votre espace de travail. Pour plus d’informations, consultez Activer la surveillance de l’intégrité pour Microsoft Sentinel.

Une fois la fonctionnalité d’intégrité activée, la table de données SentinelHealth est créée lors du premier événement de réussite ou d’échec généré pour vos règles d’automatisation et playbooks.

Fonctionnement des événements de table SentinelHealth

Les types d’événements d’intégrité de l’automatisation suivants sont enregistrés dans la table SentinelHealth :

  • Exécution de la règle d’automatisation. Journalisé chaque fois que les conditions d’une règle d’automatisation sont remplies, entraînant son exécution. Outre les champs de la table SentinelHealth de base, ces événements incluent des propriétés étendues propres à l’exécution de règles d’automatisation, notamment la liste des playbooks appelés par la règle. L’exemple de requête suivant affiche ces événements :

    SentinelHealth
    | where OperationName == "Automation rule run"
    
  • Le playbook a été déclenché. Journalisé chaque fois qu’un playbook est déclenché manuellement sur un incident à partir du portail ou par le biais de l’API. Outre les champs de la table SentinelHealth de base, ces événements incluent des propriétés étendues propres au déclenchement manuel des playbooks. L’exemple de requête suivant affiche ces événements :

    SentinelHealth
    | where OperationName == "Playbook was triggered"
    

Pour plus d’informations, consultez Schéma des colonnes de la table SentinelHealth.

États, erreurs et étapes suggérées

Pour l’état d’exécution de la règle Automation, vous pouvez voir les états suivants :

  • Réussite : règle exécutée avec succès, déclenchant toutes les actions.

  • Réussite partielle : la règle a été exécutée et a déclenché au moins une action, mais certaines actions ont échoué.

  • Échec : la règle d’automatisation n’a pas exécuté d’action pour l’une des raisons suivantes :

    • Échec de l’évaluation des conditions.
    • Conditions remplies, mais la première action a échoué.

Pour l’état Le playbook a été déclenché, vous pouvez voir les états suivants :

  • Réussite : le playbook a été déclenché avec succès.

  • Échec : le playbook n’a pas pu être déclenché.

    Remarque

    Réussite signifie uniquement que la règle d’automatisation a correctement déclenché un playbook. Cet état ne vous indique pas quand le playbook a commencé ou s’est terminé, les résultats des actions du playbook ou l’issue de celui-ci.

    Pour trouver ces informations, interrogez les journaux de diagnostic Logic Apps. Pour plus d’informations, consultez Obtenir une image complète de l'automatisation.

Descriptions des erreurs et actions suggérées

Description de l'erreur Actions suggérées
Impossible d’ajouter la tâche : <nom_tâche>.
L’incident/l’alerte est introuvable.
Vérifiez que l’incident/l’alerte existe, puis réessayez.
Impossible d’ajouter la tâche : <nom_tâche>.
L’incident contient déjà le nombre maximal de tâches autorisées.
Si cette tâche est requise, vérifiez s’il existe des tâches qui peuvent être supprimées ou consolidées, puis réessayez.
Impossible de modifier la propriété : <nom_propriété>.
L’incident/l’alerte est introuvable.
Vérifiez que l’incident/l’alerte existe, puis réessayez.
Impossible de modifier la propriété : <nom_propriété>.
Trop de demandes, dépassant les limites de limitation.
Impossible de déclencher le playbook : <nom_playbook>.
L’incident/l’alerte est introuvable.
Si l’erreur s’est produite lors de la tentative de déclenchement d’un playbook à la demande, assurez-vous que l’incident/l’alerte existe et réessayez.
Impossible de déclencher le playbook : <nom_playbook>.
Soit le playbook n’a pas été trouvé, soit les autorisations n’étaient pas accordées à Microsoft Sentinel.
Modifiez la règle d’automatisation, recherchez et sélectionnez le playbook dans son nouvel emplacement, puis enregistrez. Vérifiez que Microsoft Sentinel est autorisé à exécuter ce playbook.
Impossible de déclencher le playbook : <nom_playbook>.
Contient un type de déclencheur non pris en charge.
Assurez-vous que votre playbook commence par le déclencheur Logic Apps approprié : Incident Microsoft Sentinel ou Alerte Microsoft Sentinel.
Impossible de déclencher le playbook : <nom_playbook>.
L’abonnement est désactivé et marqué comme en lecture seule. Les playbooks dans cet abonnement ne peuvent pas être exécutés tant que l’abonnement n’est pas réactivé.
Réactivez l’abonnement Azure dans lequel se trouve le playbook.
Impossible de déclencher le playbook : <nom_playbook>.
Le playbook a été désactivé.
Activez votre playbook, dans Microsoft Sentinel sous l’onglet Playbooks actifs sous Automatisation ou dans la page de ressources Logic Apps.
Impossible de déclencher le playbook : <nom_playbook>.
Définition de modèle de incorrect.
Il existe une erreur dans la définition du playbook. Accédez au concepteur Logic Apps pour résoudre les problèmes et enregistrez le playbook.
Impossible de déclencher le playbook : <nom_playbook>.
La configuration du contrôle d’accès restreint Microsoft Sentinel.
Les configurations Logic Apps permettent de restreindre l’accès à l’exécution du playbook. Cette restriction est appliquée pour ce playbook. Supprimez cette restriction afin que Microsoft Sentinel ne soit pas bloqué. En savoir plus
Impossible de déclencher le playbook : <nom_playbook>.
Les autorisations ne sont pas accordées à Microsoft Sentinel pour qu’il l’exécute.
Microsoft Sentinel nécessite des autorisations pour exécuter les playbooks.
Impossible de déclencher le playbook : <nom_playbook>.
Playbook n’a pas été migré vers un nouveau modèle d’autorisations. Accordez des autorisations à Microsoft Sentinel pour exécuter ce playbook et réenregistrez la règle.
Accordez à Microsoft Sentinel des autorisations pour exécuter ce playbook et réenregistrez la règle.
Impossible de déclencher le playbook : <nom_playbook>.
Trop de demandes, dépassant les limites de limitation du flux de travail.
Le nombre d’exécutions de workflow en attente a dépassé la limite maximale autorisée. Essayez d’augmenter la valeur de 'maximumWaitingRuns' dans la configuration de la concurrence du déclencheur.
Impossible de déclencher le playbook : <nom_playbook>.
Trop de demandes, dépassant les limites de limitation.
Découvrez-en plus sur les limites d’abonnement et de locataire.
Impossible de déclencher le playbook : <nom_playbook>.
L’accès était interdit. La configuration de l’identité managée est insuffisante ou une restriction réseau Logic Apps a été définie.
Si le playbook utilise une identité managée, assurez-vous que l’identité managée a été affectée avec des autorisations. Le playbook peut avoir des règles de restriction réseau qui l’empêchent d’être déclenché car elles bloquent le service Microsoft Sentinel.
Impossible de déclencher le playbook : <nom_playbook>.
L’abonnement ou le groupe de ressources ont été verrouillé.
Supprimez le verrou pour autoriser les playbooks de déclencheur Microsoft Sentinel dans l’étendue verrouillée. Découvrez-en plus sur les ressources verrouillées.
Impossible de déclencher le playbook : <nom_playbook>.
L’appelant n’a pas les autorisations de déclenchement de playbook requises sur le playbook ou Microsoft Sentinel n’a pas les autorisations nécessaires sur celui-ci.
L’utilisateur qui tente de déclencher le playbook à la demande n’a pas le rôle Contributeur Logic Apps sur celui-ci. En savoir plus
Impossible de déclencher le playbook : <nom_playbook>.
Informations d’identification non valides dans la connexion.
Vérifiez les informations d’identification que votre connexion utilise dans le service Connexions d’API dans le portail Azure.
Impossible de déclencher le playbook : <nom_playbook>.
L’ID ARM du playbook n’est pas valide.

Obtenir une image complète de l’automatisation

La table de monitoring de l’intégrité de Microsoft Sentinel vous permet de suivre le déclenchement des playbooks, mais pour surveiller ce qui se passe à l’intérieur de vos playbooks et leurs résultats lors de leur exécution, vous devez également activer les diagnostics dans Azure Logic Apps pour ingérer les événements suivants dans la table AzureDiagnostics :

  • {Nom de l’action} démarrée
  • {Nom de l’action} terminée
  • Workflow (playbook) démarré
  • Workflow (playbook) terminé

Ces événements ajoutés vous donnent des insights supplémentaires sur les actions effectuées dans vos playbooks.

Activer les diagnostics Azure Logic Apps

Pour chaque playbook que vous voulez surveiller, activez Log Analytics pour votre application logique. Veillez à sélectionner Envoyer à l’espace de travail Log Analytics comme destination de votre journal, puis choisissez votre espace de travail Microsoft Sentinel.

Mettre en corrélation les journaux Microsoft Sentinel et Azure Logic Apps

Maintenant que vous disposez de journaux pour vos règles d’automatisation et playbooks et de journaux pour vos workflows Logic Apps individuels dans votre espace de travail, vous pouvez les corréler afin d’obtenir une image complète. Considérons l'exemple de requête suivant :

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Utiliser le classeur d’analyse du fonctionnement

Le workbook Intégrité de l’automatisation vous aide à visualiser vos données d’intégrité ainsi que la corrélation entre les deux types de journaux que nous venons de mentionner. Le workbook comprend les affichages suivants :

  • Intégrité et détails des règles d’automatisation
  • Intégrité et détails des déclencheurs de playbook
  • Intégrité et détails des exécutions de playbook (nécessite que Diagnostic Azure soit activé au niveau du playbook)
  • Détails de l’automatisation par incident

Par exemple :

Capture d’écran montrant le volet d’ouverture du workbook Intégrité de l’automatisation.

Sélectionnez l’onglet Playbooks exécutés par des règles d’automatisation pour afficher l’activité des playbooks.

Capture d’écran montrant la liste des playbooks appelés par les règles d’automatisation.

Sélectionnez un playbook pour afficher la liste de ses exécutions dans le graphique d’exploration ci-dessous.

Capture d’écran montrant la liste des exécutions du playbook choisi.

Sélectionnez une exécution particulière pour voir les résultats des actions du playbook.

Capture d’écran montrant les actions effectuées dans une exécution donnée de ce playbook.

Étapes suivantes