Включение аудита и мониторинга работоспособности для Microsoft Sentinel (предварительная версия)

• Применяется к:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Отслеживайте работоспособность и аудит целостности поддерживаемых ресурсов Microsoft Sentinel, включив функцию аудита и мониторинга работоспособности на странице параметров Microsoft Sentinel. Получите аналитические сведения о смещениях работоспособности, таких как последние события сбоя или изменения состояния сбоя, а также о несанкционированных действиях, а также используйте эти сведения для создания уведомлений и других автоматических действий.

Чтобы получить данные о работоспособности из таблицы данных SentinelHealth или получить сведения об аудите из таблицы данных SentinelAudit, необходимо сначала включить функцию аудита и мониторинга работоспособности Microsoft Sentinel для рабочей области. В этой статье описано, как включить эти функции.

Чтобы реализовать функцию работоспособности и аудита с помощью API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), ознакомьтесь с операциями параметров диагностики. Чтобы настроить время хранения для событий аудита и работоспособности, см. статью "Управление хранением данных" в рабочей области Log Analytics.

Внимание

Таблицы данных SentinelHealth и SentinelAudit в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Необходимые компоненты

• Прежде чем начать, узнайте больше о мониторинге работоспособности и аудите в Microsoft Sentinel. Дополнительные сведения см. в разделе "Аудит и мониторинг работоспособности" в Microsoft Sentinel.

Включение аудита и мониторинга работоспособности рабочей области

Чтобы приступить к работе, включите аудит и мониторинг работоспособности из параметров Microsoft Sentinel.

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Параметры>".
   Для Microsoft Sentinel на портале Defender в разделе "Система" выберите "Параметры>Microsoft Sentinel".

2. Выберите аудит и мониторинг работоспособности.

3. Выберите "Включить" для включения аудита и мониторинга работоспособности во всех типах ресурсов и отправки данных аудита и мониторинга в рабочую область Microsoft Sentinel (и нигде).

   Или выберите ссылку "Настройка параметров диагностики" , чтобы включить мониторинг работоспособности только для ресурсов сборщика данных и /или службы автоматизации, или настроить дополнительные параметры, например дополнительные места для отправки данных.

   Портал Azure

   

   Портал Defender

   

   Если выбран параметр "Включить", кнопка будет серым цветом и изменится на чтение включения... , а затем включена. На этом этапе включен аудит и мониторинг работоспособности, и вы сделали это! Соответствующие параметры диагностики были добавлены за кулисами, и их можно просмотреть и изменить, выбрав ссылку "Настройка параметров диагностики ".

4. Если выбран параметр "Настройка параметров диагностики", на экране параметров диагностики нажмите кнопку "+ Добавить параметр диагностики".

   (Если вы редактируете существующий параметр, выберите его в списке параметров диагностики.)

   • В поле Имя параметра диагностики введите понятное имя для параметра.

   • В столбце "Журналы" выберите соответствующие категории для типов ресурсов, которые требуется отслеживать, например сбор данных — соединители. Выберите allLogs , если вы хотите отслеживать правила аналитики.

   • В разделе "Сведения о назначении" выберите "Отправить в рабочую область Log Analytics" и выберите рабочую область "Подписка" и "Log Analytics" в раскрывающихся меню.

     

     Если требуется, вы можете выбрать другие назначения для отправки данных в дополнение к рабочей области Log Analytics.

5. Нажмите кнопку "Сохранить " в верхнем баннере, чтобы сохранить новый параметр.

Таблицы данных SentinelHealth и SentinelAudit создаются при первом событии, созданном для выбранных ресурсов.

Убедитесь, что таблицы получают данные

Выполните запросы язык запросов Kusto (KQL) на портал Azure или портале Defender, чтобы убедиться, что вы получаете данные о работоспособности и аудите.

1. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Журналы".
   Для Microsoft Sentinel на портале Defender в разделе "Исследование" и "Ответ" выберите "Охота>на расширенную охоту".

2. Запустите запрос в таблице SentinelHealth . Например:

   _SentinelHealth()
    | take 20
   

3. Запустите запрос в таблице SentinelAudit . Например:

   _SentinelAudit()
    | take 20
   

Поддерживаемые таблицы данных и типы ресурсов

При включении функции таблицы данных SentinelHealth и SentinelAudit создаются при первом событии, созданном для выбранных ресурсов.

В настоящее время мониторинг работоспособности Microsoft Sentinel поддерживает следующие типы ресурсов:

• Правила аналитики
• Соединители данных
• Правила автоматизации
• Сборники схем (рабочие процессы Azure Logic Apps)

Примечание.

При мониторинге работоспособности сборника схем обязательно соберите диагностические события Azure Logic Apps из сборников схем, чтобы получить полное представление о действиях сборника схем. Дополнительные сведения см. в статье "Мониторинг работоспособности правил автоматизации и сборников схем".

В настоящее время для аудита поддерживается только тип ресурса правила аналитики.

Следующие шаги

• Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
• Отслеживайте работоспособность соединителей данных.
• Отслеживайте работоспособность и целостность правил аналитики.