Ativar a auditoria e o monitoramento de integridade para o Microsoft Sentinel (visualização)
Monitore a integridade e audite a integridade dos recursos suportados do Microsoft Sentinel ativando o recurso de auditoria e monitoramento de integridade na página Configurações do Microsoft Sentinel. Obtenha informações sobre desvios de integridade, como os eventos de falha mais recentes ou alterações de estados de sucesso para falha, e sobre ações não autorizadas, e use essas informações para criar notificações e outras ações automatizadas.
Para obter dados de integridade da tabela de dados do SentinelHealth ou para obter informações de auditoria da tabela de dados do SentinelAudit, você deve primeiro ativar o recurso de auditoria e monitoramento de integridade do Microsoft Sentinel para seu espaço de trabalho. Este artigo instrui como ativar esses recursos.
Para implementar o recurso de integridade e auditoria usando a API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), revise as operações de Configurações de Diagnóstico. Para configurar o tempo de retenção para seus eventos de auditoria e integridade, consulte Gerenciar retenção de dados em um espaço de trabalho do Log Analytics.
Importante
As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Pré-requisitos
- Antes de começar, saiba mais sobre monitoramento e auditoria de integridade no Microsoft Sentinel. Para obter mais informações, consulte Auditoria e monitoramento de integridade no Microsoft Sentinel.
Ativar a auditoria e o monitoramento de integridade para seu espaço de trabalho
Para começar, habilite a auditoria e o monitoramento de integridade nas configurações do Microsoft Sentinel.
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione >Configurações de Configurações.
Para Microsoft Sentinel no portal Defender, em Sistema, selecione Configurações>Microsoft Sentinel.Selecione Auditoria e monitoramento de integridade.
Selecione Habilitar para habilitar a auditoria e o monitoramento de integridade em todos os tipos de recursos e para enviar os dados de auditoria e monitoramento para seu espaço de trabalho do Microsoft Sentinel (e em nenhum outro lugar).
Ou selecione o link Configurar configurações de diagnóstico para habilitar o monitoramento de integridade somente para o coletor de dados e/ou recursos de automação, ou para configurar opções avançadas, como mais locais para enviar os dados.
Se você selecionou Ativar, o botão ficará acinzentado e mudará para ler Ativando e , em seguida, Habilitado. Nesse ponto, a auditoria e o monitoramento de integridade estão habilitados, e pronto! As configurações de diagnóstico apropriadas foram adicionadas nos bastidores, e você pode visualizá-las e editá-las selecionando o link Configurar configurações de diagnóstico.
Se você selecionou Definir configurações de diagnóstico, na tela Configurações de diagnóstico , selecione + Adicionar configuração de diagnóstico.
(Se você estiver editando uma configuração existente, selecione-a na lista de configurações de diagnóstico.)
No campo Nome da configuração de diagnóstico, insira um nome significativo para sua configuração.
Na coluna Logs, selecione as Categorias apropriadas para os tipos de recursos que você deseja monitorar, por exemplo, Coleta de Dados - Conectores. Selecione allLogs se quiser monitorar as regras de análise.
Em Detalhes do destino, selecione Enviar para o espaço de trabalho do Log Analytics e selecione seu espaço de trabalho Assinatura e Log Analytics nos menus suspensos.
Se precisar, você pode selecionar outros destinos para os quais enviar seus dados, além do espaço de trabalho do Log Analytics.
Selecione Salvar no banner superior para salvar sua nova configuração.
As tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.
Verifique se as tabelas estão recebendo dados
Execute consultas KQL (Kusto Query Language) no portal do Azure ou no portal do Defender para garantir que você esteja recebendo dados de integridade e auditoria.
Para Microsoft Sentinel no portal do Azure, em Geral, selecione Logs.
Para o Microsoft Sentinel no portal do Defender, em Investigação e resposta, selecione Caça>avançada.Execute uma consulta na tabela SentinelHealth . Por exemplo:
_SentinelHealth() | take 20
Execute uma consulta na tabela SentinelAudit . Por exemplo:
_SentinelAudit() | take 20
Tabelas de dados e tipos de recursos suportados
Quando o recurso é ativado, as tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.
Atualmente, o monitoramento de integridade do Microsoft Sentinel oferece suporte aos seguintes tipos de recursos:
- Regras de análise
- Conectores de dados
- Regras de automatização
- Playbooks (fluxos de trabalho dos Aplicativos Lógicos do Azure)
Nota
Ao monitorar a integridade do playbook, certifique-se de coletar eventos de diagnóstico dos Aplicativos Lógicos do Azure de seus playbooks para obter uma visão completa da atividade do playbook. Para obter mais informações, consulte Monitorar a integridade de suas regras de automação e playbooks.
Atualmente, apenas o tipo de recurso de regra de análise é suportado para auditoria.
Próximos passos
- Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade dos conectores de dados.
- Monitore a integridade e a integridade de suas regras de análise.