Włączanie inspekcji i monitorowania kondycji dla usługi Microsoft Sentinel (wersja zapoznawcza)
Monitoruj kondycję i inspekcję integralności obsługiwanych zasobów usługi Microsoft Sentinel, włączając funkcję inspekcji i monitorowania kondycji na stronie Ustawienia usługi Microsoft Sentinel. Uzyskaj szczegółowe informacje na temat dryfów kondycji, takich jak najnowsze zdarzenia niepowodzenia lub zmiany z stanu powodzenia do stanu niepowodzenia oraz na nieautoryzowanych akcjach, a także użyj tych informacji do tworzenia powiadomień i innych akcji automatycznych.
Aby uzyskać dane dotyczące kondycji z tabeli danych SentinelHealth lub uzyskać informacje dotyczące inspekcji z tabeli danych SentinelAudit, należy najpierw włączyć funkcję inspekcji i monitorowania kondycji usługi Microsoft Sentinel dla obszaru roboczego. W tym artykule przedstawiono sposób włączania tych funkcji.
Aby zaimplementować funkcję kondycji i inspekcji przy użyciu interfejsu API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), zapoznaj się z operacjami ustawień diagnostycznych. Aby skonfigurować czas przechowywania zdarzeń inspekcji i kondycji, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.
Ważne
Tabele danych SentinelHealth i SentinelAudit są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
- Przed rozpoczęciem dowiedz się więcej na temat monitorowania kondycji i inspekcji w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji w usłudze Microsoft Sentinel.
Włączanie inspekcji i monitorowania kondycji dla obszaru roboczego
Aby rozpocząć, włącz monitorowanie inspekcji i kondycji z poziomu ustawień usługi Microsoft Sentinel.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Ustawienia>.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>usługi Microsoft Sentinel.Wybierz pozycję Inspekcja i monitorowanie kondycji.
Wybierz pozycję Włącz , aby włączyć monitorowanie inspekcji i kondycji we wszystkich typach zasobów oraz wysłać dane inspekcji i monitorowania do obszaru roboczego usługi Microsoft Sentinel (i nigdzie indziej).
Możesz też wybrać link Konfiguruj ustawienia diagnostyczne, aby włączyć monitorowanie kondycji tylko dla zasobów modułu zbierającego dane i/lub automatyzacji, lub skonfigurować opcje zaawansowane, takie jak więcej miejsc do wysyłania danych.
W przypadku wybrania opcji Włącz przycisk będzie wyszaryzowany i zmieni się, aby przeczytać Enableing... (Włączanie), a następnie pozycję Enabled (Włączone). W tym momencie włączono inspekcję i monitorowanie kondycji. Odpowiednie ustawienia diagnostyczne zostały dodane w tle i można je wyświetlić i edytować, wybierając link Konfiguruj ustawienia diagnostyczne.
Jeśli wybrano pozycję Konfiguruj ustawienia diagnostyczne, na ekranie Ustawienia diagnostyczne wybierz pozycję + Dodaj ustawienie diagnostyczne.
(Jeśli edytujesz istniejące ustawienie, wybierz je z listy ustawień diagnostycznych).
W polu Nazwa ustawienia diagnostycznego wprowadź zrozumiałą nazwę ustawienia.
W kolumnie Dzienniki wybierz odpowiednie kategorie dla typów zasobów, które chcesz monitorować, na przykład Zbieranie danych — łączniki. Wybierz wszystkie Dzienniki , jeśli chcesz monitorować reguły analizy.
W obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics, a następnie wybierz obszar roboczy Subskrypcja i Usługa Log Analytics z menu rozwijanych.
Jeśli potrzebujesz, możesz wybrać inne miejsca docelowe, do których mają być wysyłane dane, oprócz obszaru roboczego usługi Log Analytics.
Wybierz pozycję Zapisz na górnym banerze, aby zapisać nowe ustawienie.
Tabele danych SentinelHealth i SentinelAudit są tworzone w pierwszym zdarzeniu generowanym dla wybranych zasobów.
Sprawdź, czy tabele odbierają dane
Uruchom zapytania język zapytań Kusto (KQL) w witrynie Azure Portal lub portalu usługi Defender, aby upewnić się, że uzyskujesz dane dotyczące kondycji i inspekcji.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender w obszarze Badanie i odpowiedź wybierz pozycję Wyszukiwanie zaawansowane wyszukiwania>zagrożeń.Uruchom zapytanie w tabeli SentinelHealth . Na przykład:
_SentinelHealth() | take 20
Uruchom zapytanie w tabeli SentinelAudit . Na przykład:
_SentinelAudit() | take 20
Obsługiwane tabele danych i typy zasobów
Po włączeniu tej funkcji tabele danych SentinelHealth i SentinelAudit są tworzone przy pierwszym zdarzeniu generowanym dla wybranych zasobów.
Monitorowanie kondycji usługi Microsoft Sentinel obsługuje obecnie następujące typy zasobów:
- Reguły analizy
- Łączniki danych
- Reguły automatyzacji
- Podręczniki (przepływy pracy usługi Azure Logic Apps)
Uwaga
Podczas monitorowania kondycji podręcznika pamiętaj, aby zebrać zdarzenia diagnostyczne usługi Azure Logic Apps z podręczników, aby uzyskać pełny obraz działania podręcznika. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji reguł automatyzacji i podręczników.
Tylko typ zasobu reguły analizy jest obecnie obsługiwany na potrzeby inspekcji.
Następne kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
- Monitorowanie kondycji łączników danych.
- Monitoruj kondycję i integralność reguł analizy.