Поделиться через

Аудит и мониторинг работоспособности в Microsoft Sentinel

  • Статья

Microsoft Sentinel является критической службой для продвижения и защиты безопасности технологических и информационных ресурсов вашей организации, поэтому вы хотите убедиться, что она всегда работает гладко и без вмешательства.

Вы хотите убедиться, что многие движущиеся части службы всегда работают должным образом, и он не управляется несанкционированными действиями, будь то внутренними пользователями или иным образом. Вы также можете настроить уведомления о смещениях работоспособности или несанкционированных действиях, которые будут отправлены соответствующим заинтересованным лицам, которые могут реагировать или утверждать ответ. Например, можно задать условия для запуска отправки сообщений электронной почты или сообщений Microsoft Teams в операционные группы, менеджеры или сотрудники, запустить новые билеты в вашей системе билетов и т. д.

В этой статье описывается, как функции мониторинга работоспособности и аудита Microsoft Sentinel позволяют отслеживать активность некоторых ключевых ресурсов службы и проверять журналы действий пользователей в службе.

Хранилище данных работоспособности и аудита

Данные о работоспособности и аудите собираются в двух таблицах в рабочей области Log Analytics: SentinelHealth и SentinelAudit

Данные аудита собираются в таблице SentinelAudit .

Данные о работоспособности собираются в таблице SentinelHealth , которая записывает события, которые записываются при каждом запуске правила автоматизации и конечных результатах этих запусков. Таблица SentinelHealth включает:

  • Будут ли действия, запущенные в правиле успешно или неудачно, и сборники схем, вызываемые правилом.
  • События, которые записывают активацию сборников схем по запросу (вручную или на основе API), включая удостоверения, активировавшие их, и конечные результаты этих запусков

Таблица SentinelHealth не содержит запись о выполнении содержимого сборника схем, только если сборник схем был запущен успешно. Журнал действий, выполняемых в сборнике схем, которые являются рабочими процессами Logic Apps, перечислены в таблице AzureDiagnostics . AzureDiagnostics предоставляет полное представление о работоспособности службы автоматизации при использовании в тандеме с данными SentinelHealth.

Наиболее распространенным способом использования этих данных является запрос этих таблиц. Для получения наилучших результатов создайте запросы на предварительно созданные функции в этих таблицах, _SentinelHealth() и _SentinelAudit(), а не напрямую запрашивать таблицы. Эти функции обеспечивают обратную совместимость запросов в случае внесения изменений в схему самих таблиц.

Таблица SentinelHealth не оплачивается и не взимает никаких расходов за прием данных о работоспособности. Плата за таблицу SentinelAudit взимается, и как и в других областях Microsoft Sentinel, затраты, связанные с объемом журнала, могут влиять на количество действий и изменений, внесенных в связанные правила. Дополнительные сведения см. в разделе "Планирование затрат" и сведения о ценах и выставлении счетов в Microsoft Sentinel.

Внимание

Таблицы данных SentinelHealth и SentinelAudit в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Вопросы для проверки работоспособности и аудита служб

Используйте следующие вопросы, чтобы управлять мониторингом данных о работоспособности и аудите Microsoft Sentinel.

Правильно ли работает соединитель данных?

Получает ли соединитель данных? Например, если вы поручили Microsoft Sentinel выполнять запрос каждые 5 минут, вы хотите проверить, выполняется ли этот запрос, как он выполняется, и есть ли какие-либо риски или уязвимости, связанные с запросом.

Выполнялось ли правило автоматизации должным образом?

Выполнялось ли правило автоматизации, когда оно должно было выполняться, то есть когда были выполнены его условия? Успешно ли выполняются все действия в правиле автоматизации?

Выполнялось ли правило аналитики должным образом?

Выполнялось ли правило аналитики, когда оно должно было быть, и оно смогла создать результаты? Если вы ожидаете увидеть определенные инциденты в очереди, но вы не хотите знать, выполнялось ли правило, но не было ничего (или достаточно вещей) или не выполнялось вообще.

Были ли несанкционированные изменения в правило аналитики?

Было ли что-то изменено в правиле? Вы не получили ожидаемые результаты из правила аналитики и не имели проблем со работоспособностью. Вы хотите узнать, были ли внесенные в правило незапланированные изменения, а если да, то какие изменения были внесены, кем, откуда и когда.

Поток мониторинга работоспособности и аудита

Чтобы начать сбор данных о работоспособности и аудите, необходимо включить мониторинг работоспособности и аудита в параметрах Microsoft Sentinel. Затем вы можете просмотреть данные о работоспособности и аудите, собираемые Microsoft Sentinel:

Действие (Activity) Дополнительные сведения
Выполнение запросов на таблицах данных SentinelHealth и SentinelAudit на странице журналов Microsoft Sentinel.
  • Соединители данных
  • Правила автоматизации и сборники схем (присоединение запроса к Azure Logic Apps диагностика)
  • Правила аналитики
    		•
    Используйте книги аудита и мониторинга работоспособности, предоставляемые в Microsoft Sentinel.
  • Соединители данных
  • Правила автоматизации и сборники схем
  • Правила аналитики
    		•
    Использование средств управления выполнением Microsoft Sentinel для мониторинга и оптимизации запланированного выполнения правил аналитики
  • Мониторинг и оптимизация выполнения запланированных правил аналитики
    		•
    Экспортируйте данные в различные места назначения, такие как рабочая область Log Analytics, архивация в учетную запись хранения и многое другое.
  • Параметры диагностики в Azure Monitor
    		•

    Связанный контент