Udostępnij za pośrednictwem


Monitorowanie kondycji reguł automatyzacji i podręczników

Aby zapewnić prawidłowe działanie i wydajność orkiestracji zabezpieczeń, automatyzacji i operacji reagowania w usłudze Microsoft Sentinel, należy śledzić kondycję reguł automatyzacji i podręczników, monitorując dzienniki wykonywania.

Skonfiguruj powiadomienia o zdarzeniach dotyczących kondycji dla odpowiednich uczestników projektu, którzy mogą następnie podjąć działania. Na przykład zdefiniuj i wyślij wiadomości e-mail lub microsoft Teams, utwórz nowe bilety w systemie obsługi biletów itd.

W tym artykule opisano sposób korzystania z funkcji monitorowania kondycji usługi Microsoft Sentinel w celu śledzenia reguł automatyzacji i kondycji podręczników z poziomu usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji w usłudze Microsoft Sentinel.

Korzystanie z tabeli danych SentinelHealth (publiczna wersja zapoznawcza)

Aby uzyskać dane dotyczące kondycji automatyzacji z tabeli danych SentinelHealth , najpierw włącz funkcję kondycji usługi Microsoft Sentinel dla obszaru roboczego. Aby uzyskać więcej informacji, zobacz Włączanie monitorowania kondycji dla usługi Microsoft Sentinel.

Po włączeniu funkcji kondycji tabela danych SentinelHealth jest tworzona przy pierwszym zdarzeniu powodzenia lub niepowodzenia generowanym dla reguł automatyzacji i podręczników.

Opis zdarzeń tabeli SentinelHealth

W tabeli SentinelHealth są rejestrowane następujące typy zdarzeń kondycji automatyzacji:

  • Uruchamianie reguły automatyzacji. Rejestrowane przy każdym spełnieniu warunków reguły automatyzacji, co powoduje jego uruchomienie. Oprócz pól w podstawowej tabeli SentinelHealth te zdarzenia będą zawierać właściwości rozszerzone unikatowe dla uruchamiania reguł automatyzacji, w tym listę podręczników wywoływanych przez regułę. Następujące przykładowe zapytanie spowoduje wyświetlenie tych zdarzeń:

    SentinelHealth
    | where OperationName == "Automation rule run"
    
  • Element playbook został wyzwolony. Rejestrowane za każdym razem, gdy podręcznik zostanie wyzwolony na incydencie ręcznie z portalu lub za pośrednictwem interfejsu API. Oprócz pól w podstawowej tabeli SentinelHealth te zdarzenia będą zawierać właściwości rozszerzone unikatowe dla ręcznego wyzwalania podręczników. Następujące przykładowe zapytanie spowoduje wyświetlenie tych zdarzeń:

    SentinelHealth
    | where OperationName == "Playbook was triggered"
    

Aby uzyskać więcej informacji, zobacz Schemat kolumn tabeli SentinelHealth.

Stany, błędy i sugerowane kroki

W przypadku stanu uruchomienia reguły automatyzacji mogą pojawić się następujące stany:

  • Powodzenie: reguła została wykonana pomyślnie, wyzwalając wszystkie akcje.

  • Powodzenie częściowe: reguła została wykonana i wyzwoliła co najmniej jedną akcję, ale niektóre akcje zakończyły się niepowodzeniem.

  • Niepowodzenie: reguła automatyzacji nie uruchomiła żadnej akcji z jednego z następujących powodów:

    • Ocena warunków nie powiodła się.
    • Spełnione warunki, ale pierwsza akcja nie powiodła się.

W przypadku stanu Podręcznik został wyzwolony, mogą pojawić się następujące stany:

  • Powodzenie: podręcznik został pomyślnie wyzwolony.

  • Niepowodzenie: nie można wyzwolić podręcznika.

    Uwaga

    Powodzenie oznacza tylko, że reguła automatyzacji pomyślnie wyzwoliła podręcznik. Nie informuje o tym, kiedy podręcznik został uruchomiony lub zakończony, jakie są wyniki akcji w podręczniku ani jaki jest końcowy wynik podręcznika.

    Aby znaleźć te informacje, wykonaj zapytanie dotyczące dzienników diagnostycznych usługi Logic Apps. Aby uzyskać więcej informacji, zobacz Pobieranie kompletnego obrazu automatyzacji.

Opisy błędów i sugerowane akcje

Opis błędu Sugerowane akcje
Nie można dodać zadania: <TaskName>.
Nie można odnaleźć zdarzenia/alertu.
Upewnij się, że zdarzenie/alert istnieje i spróbuj ponownie.
Nie można dodać zadania: <TaskName>.
Zdarzenie zawiera już maksymalną dozwoloną liczbę zadań.
Jeśli to zadanie jest wymagane, sprawdź, czy istnieją jakieś zadania, które można usunąć lub skonsolidować, a następnie spróbuj ponownie.
Nie można zmodyfikować właściwości: PropertyName>.<
Nie można odnaleźć zdarzenia/alertu.
Upewnij się, że zdarzenie/alert istnieje i spróbuj ponownie.
Nie można zmodyfikować właściwości: PropertyName>.<
Zbyt wiele żądań, przekraczając limity ograniczania przepustowości.
Nie można wyzwolić podręcznika: PlaybookName>.<
Nie można odnaleźć zdarzenia/alertu.
Jeśli wystąpił błąd podczas próby wyzwolenia podręcznika na żądanie, upewnij się, że zdarzenie/alert istnieje i spróbuj ponownie.
Nie można wyzwolić podręcznika: PlaybookName>.<
Nie można odnaleźć podręcznika lub usługa Microsoft Sentinel nie ma w nim uprawnień.
Edytuj regułę automatyzacji, znajdź i wybierz podręcznik w nowej lokalizacji i zapisz. Upewnij się, że usługa Microsoft Sentinel ma uprawnienia do uruchamiania tego podręcznika.
Nie można wyzwolić podręcznika: PlaybookName>.<
Zawiera nieobsługiwany typ wyzwalacza.
Upewnij się, że podręcznik zaczyna się od poprawnego wyzwalacza usługi Logic Apps: Zdarzenie usługi Microsoft Sentinel lub Alert usługi Microsoft Sentinel.
Nie można wyzwolić podręcznika: PlaybookName>.<
Subskrypcja jest wyłączona i oznaczona jako tylko do odczytu. Podręczniki w tej subskrypcji nie mogą być uruchamiane, dopóki subskrypcja nie zostanie ponownie włączona.
Ponownie włącz subskrypcję platformy Azure, w której znajduje się podręcznik.
Nie można wyzwolić podręcznika: PlaybookName>.<
Podręcznik został wyłączony.
Włącz podręcznik w usłudze Microsoft Sentinel na karcie Aktywne podręczniki w obszarze Automatyzacja lub na stronie zasobu usługi Logic Apps.
Nie można wyzwolić podręcznika: PlaybookName>.<
Nieprawidłowa definicja szablonu.
W definicji podręcznika występuje błąd. Przejdź do projektanta usługi Logic Apps, aby rozwiązać problemy i zapisać podręcznik.
Nie można wyzwolić podręcznika: PlaybookName>.<
Konfiguracja kontroli dostępu ogranicza usługę Microsoft Sentinel.
Konfiguracje usługi Logic Apps umożliwiają ograniczenie dostępu do wyzwalania podręcznika. To ograniczenie ma zastosowanie w przypadku tego podręcznika. Usuń to ograniczenie, aby usługa Microsoft Sentinel nie została zablokowana. Dowiedz się więcej
Nie można wyzwolić podręcznika: PlaybookName>.<
Usługa Microsoft Sentinel nie ma uprawnień do jego uruchomienia.
Usługa Microsoft Sentinel wymaga uprawnień do uruchamiania podręczników.
Nie można wyzwolić podręcznika: PlaybookName>.<
Podręcznik nie został zmigrowany do nowego modelu uprawnień. Udziel uprawnień usługi Microsoft Sentinel, aby uruchomić ten podręcznik i ponownie zapisać regułę.
Udziel uprawnień usługi Microsoft Sentinel , aby uruchomić ten podręcznik i ponownie zapisać regułę.
Nie można wyzwolić podręcznika: PlaybookName>.<
Zbyt wiele żądań, przekraczając limity ograniczania przepływów pracy.
Liczba oczekujących przebiegów przepływu pracy przekroczyła maksymalny dozwolony limit. Spróbuj zwiększyć wartość 'maximumWaitingRuns' konfiguracji współbieżności wyzwalacza.
Nie można wyzwolić podręcznika: PlaybookName>.<
Zbyt wiele żądań, przekraczając limity ograniczania przepustowości.
Dowiedz się więcej o limitach subskrypcji i dzierżaw.
Nie można wyzwolić podręcznika: PlaybookName>.<
Dostęp był zabroniony. Brak konfiguracji tożsamości zarządzanej lub ustawiono ograniczenie sieci usługi Logic Apps.
Jeśli podręcznik używa tożsamości zarządzanej, upewnij się, że tożsamość zarządzana została przypisana z uprawnieniami. Podręcznik może mieć reguły ograniczeń sieci uniemożliwiające jego wyzwolenie w miarę blokowania usługi Microsoft Sentinel.
Nie można wyzwolić podręcznika: PlaybookName>.<
Subskrypcja lub grupa zasobów została zablokowana.
Usuń blokadę, aby zezwolić na wyzwalanie podręczników usługi Microsoft Sentinel w zablokowanym zakresie. Dowiedz się więcej o zablokowanych zasobach.
Nie można wyzwolić podręcznika: PlaybookName>.<
Brak wymaganych uprawnień wyzwalacza podręcznika w podręczniku lub w usłudze Microsoft Sentinel brakuje w nim uprawnień.
Użytkownik próbujący wyzwolić podręcznik na żądanie nie ma roli współautora usługi Logic Apps w podręczniku lub wyzwalania podręcznika. Dowiedz się więcej
Nie można wyzwolić podręcznika: PlaybookName>.<
Nieprawidłowe poświadczenia w połączeniu.
Sprawdź poświadczenia używane przez połączenie w usłudze połączeń interfejsu API w witrynie Azure Portal.
Nie można wyzwolić podręcznika: PlaybookName>.<
Identyfikator podręcznika ARM jest nieprawidłowy.

Uzyskiwanie kompletnego obrazu automatyzacji

Tabela monitorowania kondycji usługi Microsoft Sentinel umożliwia śledzenie, kiedy podręczniki są wyzwalane, ale aby monitorować, co się dzieje w podręcznikach i ich wynikach po uruchomieniu, należy również włączyć diagnostykę w usłudze Azure Logic Apps , aby pozyskać następujące zdarzenia do tabeli AzureDiagnostics :

  • Rozpoczęto akcję {Nazwa akcji}
  • {Nazwa akcji} zakończyła się
  • Rozpoczęto przepływ pracy (podręcznik)
  • Przepływ pracy (podręcznik) zakończył się

Te dodane zdarzenia zapewniają dodatkowe informacje na temat akcji wykonywanych w podręcznikach.

Włączanie diagnostyki usługi Azure Logic Apps

Dla każdego podręcznika, który cię interesuje, włącz usługę Log Analytics dla aplikacji logiki. Pamiętaj, aby wybrać pozycję Wyślij do obszaru roboczego usługi Log Analytics jako miejsce docelowe dziennika, a następnie wybierz obszar roboczy usługi Microsoft Sentinel.

Korelowanie dzienników usług Microsoft Sentinel i Azure Logic Apps

Teraz, gdy masz dzienniki dotyczące reguł automatyzacji i podręczników oraz dzienników dla poszczególnych przepływów pracy usługi Logic Apps w obszarze roboczym, możesz je skorelować, aby uzyskać pełny obraz. Rozważ następujące przykładowe zapytanie:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Korzystanie ze skoroszytu monitorowania kondycji

Skoroszyt kondycji usługi Automation pomaga wizualizować dane kondycji, a także korelację między dwoma typami dzienników, o których właśnie wspomnieliśmy. Skoroszyt zawiera następujące ekrany:

  • Kondycja i szczegóły reguły automatyzacji
  • Kondycja i szczegóły wyzwalacza podręcznika
  • Podręcznik uruchamia kondycję i szczegóły (wymaga włączenia diagnostyki platformy Azure na poziomie podręcznika)
  • Szczegóły automatyzacji na zdarzenie

Na przykład:

Zrzut ekranu przedstawiający panel otwierania skoroszytu kondycji automatyzacji.

Wybierz kartę Podręczniki uruchamiane przez reguły automatyzacji, aby wyświetlić działanie podręcznika.

Zrzut ekranu przedstawia listę podręczników nazywanych regułami automatyzacji.

Wybierz podręcznik, aby wyświetlić listę jego przebiegów na poniższym wykresie przechodzenia do szczegółów.

Zrzut ekranu przedstawia listę przebiegów wybranego podręcznika.

Wybierz konkretny przebieg, aby wyświetlić wyniki akcji w podręczniku.

Zrzut ekranu przedstawia akcje wykonywane w danym przebiegu tego podręcznika.

Następne kroki