Attivare il controllo e il monitoraggio dello stato per Microsoft Sentinel (anteprima)

• Si applica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Monitorare l'integrità e controllare l'integrità delle risorse di Microsoft Sentinel supportate attivando la funzionalità di controllo e monitoraggio dello stato nella pagina Impostazioni diMicrosoft Sentinel. Ottenere informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti o le modifiche dagli stati di esito positivo agli stati di errore e sulle azioni non autorizzate e usare queste informazioni per creare notifiche e altre azioni automatizzate.

Per ottenere dati sull'integrità dalla tabella dati SentinelHealth o per ottenere informazioni di controllo dalla tabella datiSentinelAudit, prima è necessario attivare la funzionalità di controllo e monitoraggio dello stato di Microsoft Sentinel dell'area di lavoro. Questo articolo illustra come attivare queste funzionalità.

Per implementare la funzionalità di integrità e controllo usando l'API (Bicep/ARM/REST), esaminare le operazioni di impostazioni di diagnostica. Per configurare il tempo di conservazione per gli eventi di controllo e integrità, vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.

Importante

Le tabelle dati SentinelHealth e SentinelAudit sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Prerequisiti

• Prima di iniziare, vedere Altre informazioni sul monitoraggio e sul controllo dell'integrità in Microsoft Sentinel. Per altre informazioni, vedere Controllo e monitoraggio dell'integrità per Microsoft Sentinel.

Attivare il controllo e il monitoraggio dello stato per l'area di lavoro

Per iniziare, abilitare il controllo e il monitoraggio dell'integrità dalle impostazioni di Microsoft Sentinel.

1. Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Impostazioni.>
   Per Microsoft Sentinel nel portale di Defender, in Sistema selezionare Impostazioni di>Microsoft Sentinel.

2. Selezionare Controllo e monitoraggio dell'integrità.

3. Selezionare Abilita per abilitare il controllo e il monitoraggio dello stato in tutti i tipi di risorse e inviare i dati di controllo e monitoraggio all'area di lavoro di Microsoft Sentinel e non altrove.

   In alternativa, selezionare il link Configura impostazioni di diagnostica per abilitare il monitoraggio dello stato solo per l'agente di raccolta dati e/o le risorse di automazione oppure per configurare opzioni avanzate, ad esempio posizioni aggiuntive per inviare i dati.

   Azure portal

   

   Portale di Defender

   

   Se è stata selezionata l'opzione Abilita, il pulsante verrà disattivato e passerà da Abilitazione in corso... ad Abilitato. A questo punto il controllo e il monitoraggio dello stato sono abilitati e la procedura è completata. Le impostazioni di diagnostica appropriate sono state aggiunte in background ed è possibile visualizzarle e modificarle selezionando il collegamento Configura impostazioni di diagnostica.

4. Se è stata selezionata l'opzione Configura impostazioni di diagnostica, nella schermata Impostazioni di diagnostica selezionare + Aggiungi impostazione di diagnostica.

   Se si modifica un'impostazione esistente, selezionarla dall'elenco delle impostazioni di diagnostica.

   • Nel campo Nome impostazione diagnostica immettere un nome significativo per l'impostazione.

   • Nella colonna Log selezionare le categorie appropriate per i tipi di risorse da monitorare, ad esempio Raccolta dati - Connettori. Selezionare allLogs se si desidera monitorare le regole di analisi.

   • In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics e selezionare Sottoscrizione e l'area di lavoro Log Analytics dai menu a discesa.

     

     Se necessario, è possibile selezionare altre destinazioni a cui inviare i dati, oltre all'area di lavoro Log Analytics.

5. Selezionare Salva nel banner in alto per salvare la nuova impostazione.

Le tabelle dati SentinelHealth e SentinelAudit vengono create al primo evento generato per le risorse selezionate.

Verificare che le tabelle ricevano dati

Eseguire query Linguaggio di query Kusto (KQL) nel portale di Azure o nel portale di Defender per assicurarsi di ottenere dati di integrità e controllo.

1. Per Microsoft Sentinel nel Portale di Azure, in Generale, selezionare Log.
   Per Microsoft Sentinel nel portale di Defender, in Indagine e risposta selezionare Ricerca>avanzata.

2. Eseguire una query nella tabella SentinelHealth . Ad esempio:

   _SentinelHealth()
    | take 20
   

3. Eseguire una query nella tabella SentinelAudit . Ad esempio:

   _SentinelAudit()
    | take 20
   

Tabelle dati e tipi di risorse supportati

Quando la funzionalità è attivata, le tabelle dati SentinelHealth e SentinelAudit vengono create al primo evento generato per le risorse selezionate.

Il monitoraggio dell'integrità di Microsoft Sentinel supporta attualmente i tipi di risorse seguenti:

• Regole di analisi
• Connettori di dati
• Regole di automazione
• Playbook (flussi di lavoro di App per la logica di Azure)

Nota

Quando si monitora l'integrità dei playbook, è anche necessario raccogliere gli eventi di diagnostica di App per la logica di Azure dai playbook per ottenere il quadro completo dell'attività del playbook. Per altre informazioni, vedere Monitorare l'integrità delle regole di automazione e dei playbook.

Per il controllo è attualmente supportato solo il tipo di risorsa regola di analisi.

Passaggi successivi

• Informazioni sul controllo e il monitoraggio dello stato in Microsoft Sentinel.
• Monitorare l'integrità dei connettori dati.
• Monitorare l'integrità delle regole di analisi.