De status bewaken en de integriteit van uw analyseregels controleren
Om uitgebreide, ononderbroken en manipulatievrije detectie van bedreigingen in uw Microsoft Sentinel-service te garanderen, houdt u de status en integriteit van uw analyseregels bij en zorgt u ervoor dat ze optimaal functioneren, door hun uitvoeringsinzichten te bewaken, door query's uit te voeren op de status- en auditlogboeken en door handmatig opnieuw uit te voeren om uw regels te testen en te optimaliseren.
Stel meldingen in van status- en controlegebeurtenissen voor relevante belanghebbenden, die vervolgens actie kunnen ondernemen. U kunt bijvoorbeeld e-mail of Microsoft Teams-berichten definiëren en verzenden, nieuwe tickets maken in uw ticketsysteem, enzovoort.
In dit artikel wordt beschreven hoe u de controle- en statuscontrolefuncties van Microsoft Sentinel gebruikt om de status en integriteit van uw analyseregels bij te houden vanuit Microsoft Sentinel.
Zie De uitvoering van uw geplande analyseregels bewaken en optimaliseren voor informatie over regelinzichten en het handmatig opnieuw uitvoeren van regels.
Belangrijk
De gegevenstabellen SentinelHealth en SentinelAudit zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Samenvatting
Statuslogboeken van Microsoft Sentinel-analyseregels:
- In dit logboek worden gebeurtenissen vastgelegd die de uitvoering van analyseregels vastleggen en het eindresultaat van deze uitvoeringen: als ze zijn geslaagd of mislukt en als ze zijn mislukt, waarom.
- Het logboek registreert ook voor elke uitvoering van een analyseregel:
- Hoeveel gebeurtenissen zijn vastgelegd door de query van de regel.
- Of het aantal gebeurtenissen de drempelwaarde heeft doorgegeven die is gedefinieerd in de regel, waardoor de regel een waarschuwing genereert.
Deze logboeken worden verzameld in de tabel SentinelHealth in Log Analytics.
Auditlogboeken voor Microsoft Sentinel-analyseregels:
- In dit logboek worden gebeurtenissen vastgelegd die wijzigingen vastleggen die zijn aangebracht in een analyseregel, met inbegrip van de volgende details:
- De naam van de regel die is gewijzigd.
- Welke eigenschappen van de regel zijn gewijzigd.
- De status van de regelinstellingen vóór en na de wijziging.
- De gebruiker of identiteit die de wijziging heeft aangebracht.
- Het bron-IP-adres en de datum/tijd van de wijziging.
- ...en meer.
Deze logboeken worden verzameld in de tabel SentinelAudit in Log Analytics.
- In dit logboek worden gebeurtenissen vastgelegd die wijzigingen vastleggen die zijn aangebracht in een analyseregel, met inbegrip van de volgende details:
De gegevenstabellen SentinelHealth en SentinelAudit gebruiken (preview)
Als u controle- en statusgegevens wilt ophalen uit de hierboven beschreven tabellen, moet u eerst de microsoft Sentinel-statusfunctie voor uw werkruimte inschakelen. Zie Controle en statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.
Zodra de statusfunctie is ingeschakeld, wordt de gegevenstabel SentinelHealth gemaakt bij de eerste geslaagde of mislukte gebeurtenis die is gegenereerd voor uw automatiseringsregels en playbooks.
Informatie over tabelgebeurtenissen van SentinelHealth en SentinelAudit
De volgende typen statusgebeurtenissen voor analyseregels worden vastgelegd in de tabel SentinelHealth :
Geplande analyseregel wordt uitgevoerd.
NRT-analyseregel wordt uitgevoerd.
Zie het schema voor kolommen in de SentinelHealth-tabel voor meer informatie.
De volgende typen controlegebeurtenissen voor analyseregels worden vastgelegd in de tabel SentinelAudit :
Analyseregel maken of bijwerken.
Analyseregel verwijderd.
Zie het schema van de sentinelAudit-tabelkolommen voor meer informatie.
Query's uitvoeren om problemen met de status en integriteit te detecteren
Voor de beste resultaten moet u uw query's bouwen op de vooraf gebouwde functies in deze tabellen, _SentinelHealth() en _SentinelAudit(), in plaats van rechtstreeks een query uit te voeren op de tabellen. Deze functies zorgen voor het onderhoud van de compatibiliteit met eerdere versies van uw query's in het geval van wijzigingen in het schema van de tabellen zelf.
Als eerste stap moeten uw query's de tabellen filteren op gegevens die betrekking hebben op analyseregels. Gebruik de SentinelResourceType
parameter.
_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
Desgewenst kunt u de lijst verder filteren op een bepaald type analyseregel. Gebruik hiervoor de SentinelResourceKind
parameter.
| where SentinelResourceKind == "Scheduled"
# OR
| where SentinelResourceKind == "NRT"
Hier volgen enkele voorbeeldquery's om u op weg te helpen:
Regels zoeken die niet zijn uitgevoerd:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Status != "Success"
Regels zoeken die automatisch zijn uitgeschakeld:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Reason == "The analytics rule is disabled and was not executed."
Tel de regels en uitvoeringen die zijn geslaagd of mislukt, om de volgende redenen:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
Regelverwijderingsactiviteit zoeken:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | where Description =="Analytics rule deleted"
Activiteit zoeken op regels, op regelnaam en activiteitsnaam:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
Activiteit zoeken op regels, op naam van beller (de identiteit die de activiteit heeft uitgevoerd):
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | extend Caller= tostring(ExtendedProperties.CallerName) | summarize Count = count() by Caller, Activity=Description
Statussen, fouten en voorgestelde stappen
Voor uitvoering van geplande analyseregels of NRT-analyseregels ziet u mogelijk een van de volgende statussen en beschrijvingen:
Geslaagd: de regel is uitgevoerd en genereert
<n>
waarschuwingen.Geslaagd: de regel is uitgevoerd, maar heeft niet de drempelwaarde (
<n>
) bereikt die is vereist om een waarschuwing te genereren.Fout: dit zijn de mogelijke beschrijvingen voor regelfouten en wat u eraan kunt doen.
Beschrijving Herstel Er is een interne serverfout opgetreden tijdens het uitvoeren van de query. Er is een time-out opgetreden voor de uitvoering van de query. Er is geen tabel gevonden waarnaar in de query wordt verwezen. Controleer of de relevante gegevensbron is verbonden. Er is een semantische fout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen). Een functie die door de query wordt aangeroepen, heeft een gereserveerd woord. Verwijder of wijzig de naam van de functie. Er is een syntaxisfout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen). De werkruimte bestaat niet. Deze query is gevonden om te veel systeembronnen te gebruiken en is verhinderd om uit te voeren. Controleer en stem de analyseregel af. Raadpleeg onze documentatie over Kusto-querytaal overzicht en best practices. Er is geen functie gevonden die door de query is aangeroepen. Controleer het bestaan in uw werkruimte van alle functies die door de query worden aangeroepen. De werkruimte die in de query wordt gebruikt, is niet gevonden. Controleer of alle werkruimten in de query bestaan. U bent niet gemachtigd om deze query uit te voeren. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen). U hebt geen toegangsmachtigingen voor een of meer van de resources in de query. De query heeft verwezen naar een opslagpad dat niet is gevonden. De query is de toegang tot een opslagpad geweigerd. In deze werkruimte worden meerdere functies met dezelfde naam gedefinieerd. Verwijder of wijzig de naam van de redundante functie en stel de regel opnieuw in door deze te bewerken en op te slaan. Deze query heeft geen resultaat geretourneerd. Meerdere resultatensets in deze query zijn niet toegestaan. Queryresultaten bevatten inconsistent aantal velden per rij. De uitvoering van de regel is vertraagd vanwege lange gegevensopnametijden. De uitvoering van de regel is vertraagd vanwege tijdelijke problemen. De waarschuwing is niet verrijkt vanwege tijdelijke problemen. De waarschuwing is niet verrijkt vanwege problemen met entiteitstoewijzing. <aantal> entiteiten zijn verwijderd in de naam> van de waarschuwing <vanwege de limiet van 32 kB-waarschuwingsgrootte. <aantal> entiteiten zijn verwijderd in de naam> van de waarschuwing <vanwege problemen met entiteitstoewijzing. De query heeft geresulteerd in <getalgebeurtenissen>, die groter zijn dan het maximum aantal< limietresultaten> dat is toegestaan voor <regeltyperegels> met configuratie voor gebeurtenisgroepering per rij. Waarschuwing per rij is gegenereerd voor eerste <gebeurtenissen van limiet 1> en er is een extra geaggregeerde waarschuwing gegenereerd om rekening te houden met alle gebeurtenissen.
- <getal> = aantal gebeurtenissen dat door de query wordt geretourneerd
- <limiet> = momenteel 150 waarschuwingen voor geplande regels, 30 voor NRT-regels
- <regeltype> = Gepland of NRT
De werkmap controle en statuscontrole gebruiken
Als u de werkmap beschikbaar wilt maken in uw werkruimte, moet u de werkmapoplossing installeren vanuit de Microsoft Sentinel-inhoudshub:
Selecteer in de Microsoft Sentinel-portal inhoudshub (preview) in het menu Inhoudsbeheer .
Voer in de inhoudshub de status in de zoekbalk in en selecteer Analytics Health & Audit in de werkmapoplossingen onder Zelfstandig in de resultaten.
Selecteer Installeren in het detailvenster en selecteer Opslaan dat op de plaats wordt weergegeven.
Wanneer de oplossing aangeeft dat deze is geïnstalleerd, selecteert u Werkmappen in het menu Bedreigingsbeheer.
Selecteer in de galerie Werkmappen het tabblad Sjablonen, voer de status in de zoekbalk in en selecteer Analytics Health & Audit in de resultaten.
Selecteer Opslaan in het detailvenster om een bewerkbare en bruikbare kopie van de werkmap te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen workbook weergeven.
Selecteer in de werkmap eerst het abonnement en de werkruimte die u wilt weergeven (deze kunnen al zijn geselecteerd) en definieer vervolgens de TimeRange om de gegevens te filteren op basis van uw behoeften. Gebruik de wisselknop Help weergeven om in-place uitleg van de werkmap weer te geven.
Er zijn drie secties met tabbladen in deze werkmap:
Tabblad Overzicht
Op het tabblad Overzicht worden status- en controleoverzichten weergegeven:
- Statussamenvattingen van de status van analyseregels worden uitgevoerd in de geselecteerde werkruimte: aantal uitvoeringen, geslaagde en mislukte gebeurtenissen en details van foutevenementen.
- Samenvattingen van activiteiten op analyseregels in de geselecteerde werkruimte controleren: aantal activiteiten in de loop van de tijd, aantal activiteiten per type en aantal activiteiten van verschillende typen per regel.
Tabblad Status
Op het tabblad Status kunt u inzoomen op bepaalde statusevenementen.
- Filter de hele paginagegevens op status (geslaagd/mislukt) en regeltype (gepland/NRT).
- Bekijk de trends van geslaagde en/of mislukte regeluitvoeringen (afhankelijk van het statusfilter) gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven.
- Filter de rest van de pagina op reden.
- Bekijk het totale aantal uitvoeringen voor alle analyseregels, proportioneel weergegeven op status in een cirkeldiagram.
- Hierna volgt een tabel met het aantal unieke analyseregels dat is uitgevoerd, onderverdeeld op regeltype en status.
- Selecteer een status om de resterende grafieken voor die status te filteren.
- Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Bekijk elke status, met het aantal mogelijke redenen voor die status. (Alleen de redenen die worden weergegeven in de uitvoeringen in het geselecteerde tijdsbestek, worden weergegeven.)
- Selecteer een status om de resterende grafieken voor die status te filteren.
- Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Bekijk vervolgens een lijst met deze redenen, waarbij het aantal gecombineerde regeluitvoeringen en het aantal unieke regels dat is uitgevoerd.
- Selecteer een reden om de volgende grafieken om die reden te filteren.
- Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Hierna volgt een lijst met de unieke analyseregels die zijn uitgevoerd, met de meest recente resultaten en trendlijnen van hun succes en/of mislukking (afhankelijk van de status die is geselecteerd om de lijst te filteren).
- Selecteer een regel om in te zoomen en een nieuwe tabel weer te geven met alle uitvoeringen van die regel (in het geselecteerde tijdsbestek).
- Wis deze tabel door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Als u een regel in de bovenstaande lijst hebt geselecteerd, wordt er een nieuwe tabel weergegeven met de statusgegevens voor de geselecteerde regel.
Tabblad Controle
Op het tabblad Audit kunt u inzoomen op bepaalde controlegebeurtenissen.
- Filter de hele paginagegevens op type controleregel (gepland/Fusion).
- Bekijk de trends van gecontroleerde activiteit op analyseregels gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven.
- Bekijk het aantal gecontroleerde gebeurtenissen, onderverdeeld op activiteit en regeltype.
- Selecteer een activiteit om de volgende grafieken voor die activiteit te filteren.
- Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Bekijk het aantal gecontroleerde gebeurtenissen op regelnaam.
- Selecteer een regelnaam om de volgende tabel voor die regel te filteren en om in te zoomen en een nieuwe tabel weer te geven met alle activiteiten op die regel (in het geselecteerde tijdsbestek). (Zie na de volgende schermopname.)
- Wis het filter door het pictogram Selectie wissen te selecteren (het ziet eruit als een pictogram Ongedaan maken) in de rechterbovenhoek van de grafiek.
- Bekijk het aantal gecontroleerde gebeurtenissen per beller (de identiteit die de activiteit heeft uitgevoerd).
- Als u een regelnaam hebt geselecteerd in de grafiek die hierboven wordt weergegeven, wordt een andere tabel weergegeven met de gecontroleerde activiteiten op die regel. Selecteer de waarde die wordt weergegeven als een koppeling in de kolom ExtendedProperties om een zijpaneel te openen waarin de wijzigingen in de regel worden weergegeven.
Volgende stappen
- De uitvoering van analyseregels bewaken en optimaliseren in Microsoft Sentinel.
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit.