De status van uw gegevensconnectors bewaken
Voor een volledige en ononderbroken gegevensopname in uw Microsoft Sentinel-service houdt u de status, connectiviteit en prestaties van uw gegevensconnectors bij.
Met de volgende functies kunt u deze bewaking uitvoeren vanuit Microsoft Sentinel:
Werkmap voor statuscontrole van gegevensverzameling: deze werkmap biedt extra monitors, detecteert afwijkingen en geeft inzicht in de gegevensopnamestatus van de werkruimte. U kunt de logica van de werkmap gebruiken om de algemene status van de opgenomen gegevens te bewaken en aangepaste weergaven en waarschuwingen op basis van regels te maken.
SentinelHealth-gegevenstabel (preview): als u een query uitvoert op deze tabel, krijgt u inzicht in statusafwijkingen, zoals de meest recente foutgebeurtenissen per connector of connectors met wijzigingen van geslaagde statussen tot mislukte statussen, die u kunt gebruiken om waarschuwingen en andere geautomatiseerde acties te maken. De gegevenstabel SentinelHealth wordt momenteel alleen ondersteund voor geselecteerde gegevensconnectors.
Belangrijk
De gegevenstabel SentinelHealth is momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Bekijk de status en status van uw verbonden SAP-systemen: controleer statusinformatie voor uw SAP-systemen onder de SAP-gegevensconnector en gebruik een waarschuwingsregelsjabloon om informatie te krijgen over de status van de gegevensverzameling van de SAP-agent.
De werkmap voor statuscontrole gebruiken
Als u aan de slag wilt gaan, installeert u de werkmap voor de statuscontrole van gegevensverzameling vanuit de inhoudshub en bekijkt of maakt u een kopie van de sjabloon vanuit de sectie Werkmappen van Microsoft Sentinel.
Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.Voer in de inhoudshub de status in de zoekbalk in en selecteer statuscontrole voor gegevensverzameling in de resultaten.
Selecteer Installeren in het detailvenster. Wanneer u een melding ziet dat de werkmap is geïnstalleerd of als in plaats van Installeren configuratie wordt weergegeven, gaat u verder met de volgende stap.
Selecteer Werkmappen in Microsoft Sentinel onder Bedreigingsbeheer.
Selecteer op de pagina Werkmappen het tabblad Sjablonen, voer de status in de zoekbalk in en selecteer statuscontrole voor gegevensverzameling in de resultaten.
Selecteer Sjabloon weergeven om de workbook in de bestaande staat te gebruiken of selecteer Opslaan om een bewerkbare kopie van de workbook te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen workbook weergeven.
Selecteer in de werkmap eerst het abonnement en de werkruimte die u wilt weergeven en definieer vervolgens de TimeRange om de gegevens te filteren op basis van uw behoeften. Gebruik de wisselknop Help weergeven om in-place uitleg van de werkmap weer te geven.
Er zijn drie secties met tabbladen in deze werkmap:
Op het tabblad Overzicht ziet u de algemene status van gegevensopname in de geselecteerde werkruimte: volumemetingen, EPS-tarieven en tijd die het laatst in het logboek is ontvangen.
Het tabblad Afwijkingen in gegevensverzameling helpt u bij het detecteren van afwijkingen in het proces voor gegevensverzameling, per tabel en gegevensbron. Elk tabblad bevat afwijkingen voor een bepaalde tabel (het tabblad Algemeen bevat een verzameling tabellen). De afwijkingen worden berekend met behulp van de functie series_decompose_anomalies() die een anomaliescore retourneert. Meer informatie over deze functie. Stel de volgende parameters in voor de functie die moet worden geëvalueerd:
AnomaliesTimeRange: Deze tijdkiezer is alleen van toepassing op de weergave afwijkingen in gegevensverzameling.
SampleInterval: het tijdsinterval waarin gegevens in het opgegeven tijdsbereik worden bemonsterd. De afwijkingsscore wordt alleen berekend voor de gegevens van het laatste interval.
PositiveAlertThreshold: Deze waarde definieert de drempelwaarde voor de positieve anomaliescore. Hiermee worden decimale waarden geaccepteerd.
NegativeAlertThreshold: Deze waarde definieert de drempelwaarde voor de negatieve anomaliescore. Hiermee worden decimale waarden geaccepteerd.
Op het tabblad Agentgegevens ziet u informatie over de status van de agents die op uw verschillende machines zijn geïnstalleerd, ongeacht of azure-VM, andere cloud-VM, on-premises VM of fysiek. Bewaak de systeemlocatie, heartbeatstatus en latentie, beschikbare geheugen- en schijfruimte en agentbewerkingen.
In deze sectie moet u het tabblad selecteren waarin de omgeving van uw machines wordt beschreven: kies het tabblad Met Azure beheerde machines als u alleen de door Azure Arc beheerde machines wilt weergeven. Kies het tabblad Alle machines om zowel beheerde als niet-Azure-machines weer te geven waarop de Azure Monitor-agent is geïnstalleerd.
De gegevenstabel SentinelHealth gebruiken (openbare preview)
Als u de statusgegevens van de gegevensconnector wilt ophalen uit de gegevenstabel SentinelHealth , moet u eerst de microsoft Sentinel-statusfunctie voor uw werkruimte inschakelen. Zie Statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.
Zodra de statusfunctie is ingeschakeld, wordt de gegevenstabel SentinelHealth gemaakt bij de eerste geslaagde of mislukte gebeurtenis die wordt gegenereerd voor uw gegevensconnectors.
Ondersteunde gegevensconnectors
De gegevenstabel SentinelHealth wordt momenteel alleen ondersteund voor de volgende gegevensconnectors:
- Amazon Web Services (CloudTrail en S3)
- Dynamics 365
- Office 365
- Microsoft Defender voor Eindpunten
- Bedreigingsinformatie - TAXII
- Platformen voor bedreigingsinformatie
- Elke connector op basis van codeloze connectorplatform
Informatie over tabelgebeurtenissen in SentinelHealth
De volgende typen statusgebeurtenissen worden vastgelegd in de tabel SentinelHealth :
Statuswijziging voor het ophalen van gegevens. Eenmaal per uur geregistreerd zolang de status van een gegevensconnector stabiel blijft, met continue geslaagde of mislukte gebeurtenissen. Zolang de status van een gegevensconnector niet verandert, werkt het bewaken van slechts één uur om redundante controle te voorkomen en de tabelgrootte te verkleinen. Als de status van de gegevensconnector doorlopende fouten bevat, worden aanvullende informatie over de fouten opgenomen in de kolom ExtendedProperties .
Als de status van de gegevensconnector verandert, van geslaagd tot mislukt, van mislukt tot geslaagd of wijzigingen in mislukte redenen, wordt de gebeurtenis onmiddellijk geregistreerd om uw team in staat te stellen proactief en onmiddellijk actie te ondernemen.
Mogelijk tijdelijke fouten, zoals beperking van de bronservice, worden alleen geregistreerd nadat ze langer dan 60 minuten zijn voortgezet. Met deze 60 minuten kan Microsoft Sentinel een tijdelijk probleem in de back-end oplossen en de gegevens inhaalen zonder tussenkomst van de gebruiker. Fouten die absoluut niet tijdelijk zijn, worden onmiddellijk geregistreerd.
Samenvatting van fout. Eenmaal per uur geregistreerd, per connector, per werkruimte, met een samenvatting van een samengevoegde fout. Mislukte samenvattingsgebeurtenissen worden alleen gemaakt wanneer de connector polling-fouten heeft opgetreden tijdens het opgegeven uur. Deze bevatten extra details in de kolom ExtendedProperties , zoals de periode waarvoor het bronplatform van de connector is opgevraagd, en een afzonderlijke lijst met fouten die zijn opgetreden tijdens de periode.
Zie het schema voor kolommen in de SentinelHealth-tabel voor meer informatie.
Query's uitvoeren om statusafwijkingen te detecteren
Maak query's in de tabel SentinelHealth om u te helpen bij het detecteren van statusafwijkingen in uw gegevensconnectors. Voorbeeld:
De meest recente fout gebeurtenissen per connector detecteren:
SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'
Connectors met wijzigingen detecteren van mislukte geslaagde status:
let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'
Connectors detecteren met wijzigingen van geslaagde status:
let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'
Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:
- let-instructie
- where-operator
- projectoperator
- operator samenvatten
- join-operator
- ago() functie
- arg_max() aggregatiefunctie
Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Waarschuwingen en geautomatiseerde acties configureren voor statusproblemen
Hoewel u de analyseregels van Microsoft Sentinel kunt gebruiken om automatisering in Microsoft Sentinel-logboeken te configureren, raden we u aan om azure Monitor-waarschuwingsregels te gebruiken als u hiervan op de hoogte wilt worden gesteld en onmiddellijk actie wilt ondernemen voor statusafwijkingen in uw gegevensconnectors.
Voorbeeld:
Selecteer in een Azure Monitor-waarschuwingsregel uw Microsoft Sentinel-werkruimte als regelbereik en aangepast zoeken in logboeken als eerste voorwaarde.
Pas de waarschuwingslogica zo nodig aan, zoals frequentie of lookbackduur, en gebruik vervolgens query's om te zoeken naar statusafwijkingen.
Voor de regelacties selecteert u een bestaande actiegroep of maakt u indien nodig een nieuwe actiegroep om pushmeldingen of andere geautomatiseerde acties te configureren, zoals het activeren van een logische app, webhook of Azure-functie in uw systeem.
Zie het overzicht van Azure Monitor-waarschuwingen en het azure Monitor-waarschuwingenlogboek voor meer informatie.
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status en integriteit van uw analyseregels.
- Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit.