Controle en statuscontrole inschakelen voor Microsoft Sentinel (preview)
Controleer de status en controleer de integriteit van ondersteunde Microsoft Sentinel-resources door de functie controle en statuscontrole in te schakelen op de pagina Instellingen van Microsoft Sentinel. Krijg inzicht in statusdrift, zoals de meest recente foutgebeurtenissen of wijzigingen van geslaagde statussen tot mislukte acties, en gebruik deze informatie om meldingen en andere geautomatiseerde acties te maken.
Als u statusgegevens wilt ophalen uit de gegevenstabel SentinelHealth of als u controlegegevens wilt ophalen uit de gegevenstabel SentinelAudit, moet u eerst de functie Voor controle en statuscontrole van Microsoft Sentinel inschakelen voor uw werkruimte. In dit artikel wordt uitgelegd hoe u deze functies kunt inschakelen.
Als u de status- en controlefunctie wilt implementeren met behulp van API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), controleert u de bewerkingen diagnostische instellingen. Zie Gegevensretentie beheren in een Log Analytics-werkruimte om de bewaartijd voor uw audit- en statusgebeurtenissen te configureren.
Belangrijk
De gegevenstabellen SentinelHealth en SentinelAudit zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Vereisten
- Voordat u begint, vindt u meer informatie over statuscontrole en controle in Microsoft Sentinel. Zie Controle en statuscontrole in Microsoft Sentinel voor meer informatie.
Controle en statuscontrole inschakelen voor uw werkruimte
Schakel controle en statuscontrole in vanuit de Instellingen van Microsoft Sentinel om aan de slag te gaan.
Selecteer Instellingen>voor Microsoft Sentinel in Azure Portal onder Configuratie.
Voor Microsoft Sentinel in de Defender-portal selecteert u Instellingen>Microsoft Sentinel onder Systeem.Selecteer Controle en statuscontrole.
Selecteer Inschakelen om controle en statuscontrole in te schakelen voor alle resourcetypen en om de controle- en bewakingsgegevens te verzenden naar uw Microsoft Sentinel-werkruimte (en nergens anders).
Of selecteer de koppeling Diagnostische instellingen configureren om statuscontrole alleen in te schakelen voor de gegevensverzamelaar en/of automatiseringsresources of om geavanceerde opties te configureren, zoals meer plaatsen om de gegevens te verzenden.
Als u Inschakelen hebt geselecteerd, wordt de knop grijs weergegeven en gewijzigd in Inschakelen... en vervolgens Ingeschakeld. Op dat moment is controle en statuscontrole ingeschakeld en bent u klaar. De juiste diagnostische instellingen zijn achter de schermen toegevoegd en u kunt ze bekijken en bewerken door de koppeling Diagnostische instellingen configureren te selecteren.
Als u diagnostische instellingen configureren hebt geselecteerd, selecteert u in het scherm Diagnostische instellingen de optie + Diagnostische instelling toevoegen.
(Als u een bestaande instelling bewerkt, selecteert u deze in de lijst met diagnostische instellingen.)
Voer in het veld Naam van diagnostische instelling een betekenisvolle naam in voor uw instelling.
Selecteer in de kolom Logboeken de juiste categorieën voor de resourcetypen die u wilt bewaken, bijvoorbeeld Gegevensverzameling - Connectors. Selecteer allLogs als u analyseregels wilt bewaken.
Selecteer onder Doeldetails de optie Verzenden naar Log Analytics-werkruimte en selecteer uw abonnements - en Log Analytics-werkruimte in de vervolgkeuzelijsten.
Als u dit nodig hebt, kunt u andere bestemmingen selecteren waarnaar u uw gegevens wilt verzenden, naast de Log Analytics-werkruimte.
Selecteer Opslaan op de bovenste banner om uw nieuwe instelling op te slaan.
De gegevenstabellen SentinelHealth en SentinelAudit worden gemaakt bij de eerste gebeurtenis die is gegenereerd voor de geselecteerde resources.
Controleer of de tabellen gegevens ontvangen
Voer Kusto-querytaal query's (KQL) uit in Azure Portal of de Defender-portal om ervoor te zorgen dat u status- en controlegegevens krijgt.
Voor Microsoft Sentinel in Azure Portal selecteert u Logboeken onder Algemeen.
Voor Microsoft Sentinel in de Defender-portal, onder Onderzoek en antwoord, selecteert u Opsporing>Geavanceerd opsporen.Voer een query uit op de tabel SentinelHealth . Voorbeeld:
_SentinelHealth() | take 20
Voer een query uit op de tabel SentinelAudit . Voorbeeld:
_SentinelAudit() | take 20
Ondersteunde gegevenstabellen en resourcetypen
Wanneer de functie is ingeschakeld, worden de gegevenstabellen SentinelHealth en SentinelAudit gemaakt bij de eerste gebeurtenis die wordt gegenereerd voor de geselecteerde resources.
Microsoft Sentinel-statuscontrole ondersteunt momenteel de volgende typen resources:
- Analyseregels
- Gegevensconnectors
- Automatiseringsregels
- Playbooks (Azure Logic Apps-werkstromen)
Notitie
Wanneer u de playbookstatus bewaakt, moet u diagnostische gebeurtenissen van Azure Logic Apps verzamelen uit uw playbooks om een volledig beeld te krijgen van uw playbookactiviteit. Zie De status van uw automatiseringsregels en playbooks bewaken voor meer informatie.
Alleen het resourcetype analyseregel wordt momenteel ondersteund voor controle.