Поделиться через

Мониторинг работоспособности и аудит целостности правил аналитики

  • Статья

Чтобы обеспечить комплексное, непрерывное и автоматическое обнаружение угроз в службе Microsoft Sentinel, следите за работоспособностью и целостностью правил аналитики и обеспечить их оптимальное функционирование, отслеживая их аналитические сведения о выполнении, запрашивая журналы работоспособности и аудита, а также с помощью ручного запуска для тестирования и оптимизации правил.

Настройте уведомления о событиях работоспособности и аудита для соответствующих заинтересованных лиц, которые затем могут принять меры. Например, определите и отправьте сообщения электронной почты или сообщения Microsoft Teams, создайте новые билеты в системе билетов и т. д.

В этой статье описывается, как использовать функции аудита и мониторинга работоспособности Microsoft Sentinel для отслеживания работоспособности и целостности правил аналитики из Microsoft Sentinel.

Сведения о аналитике правил и повторном выполнении правил вручную см. в статье "Мониторинг и оптимизация выполнения запланированных правил аналитики".

Внимание

Таблицы данных SentinelHealth и SentinelAudit в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Итоги

  • Журналы работоспособности правил аналитики Microsoft Sentinel:

    • Этот журнал записывает события, записывающие выполнение правил аналитики, и конечный результат этих запусков, если они успешно или завершились сбоем, и если они завершились ошибкой, почему.
    • Журнал также записывает записи для каждого запуска правила аналитики:
      • Сколько событий было захвачено запросом правила.
      • Указывает, передается ли количество событий, определенных в правиле, что приводит к возникновению предупреждения.

    Эти журналы собираются в таблице SentinelHealth в Log Analytics.

  • Журналы аудита правил аналитики Microsoft Sentinel:

    • Этот журнал записывает события, которые записывают изменения, внесенные в любое правило аналитики, включая следующие сведения:
      • Имя измененного правила.
      • Какие свойства правила были изменены.
      • Состояние параметров правила до и после изменения.
      • Пользователь или удостоверение, вносящее изменения.
      • Исходный IP-адрес и дата и время изменения.
      • и многое другое.

    Эти журналы собираются в таблице SentinelAudit в Log Analytics.

Использование таблиц данных SentinelHealth и SentinelAudit (предварительная версия)

Чтобы получить данные аудита и работоспособности из таблиц, описанных выше, необходимо сначала включить функцию работоспособности Microsoft Sentinel для рабочей области. Дополнительные сведения см. в разделе "Включение аудита и мониторинга работоспособности" для Microsoft Sentinel.

После включения функции работоспособности таблица данных SentinelHealth создается при первом успешном или неудачном событии, созданном для правил автоматизации и сборников схем.

Общие сведения о событиях таблицы SentinelHealth и SentinelAudit

В таблице SentinelHealth регистрируются следующие типы событий работоспособности правил аналитики:

В таблице SentinelAudit регистрируются следующие типы событий аудита правил аналитики:

  • Создание или обновление правила аналитики.

  • Удалено правило аналитики.

    Дополнительные сведения см. в схеме столбцов таблицы SentinelAudit.

Выполнение запросов для обнаружения проблем работоспособности и целостности

Для получения наилучших результатов следует создавать запросы на предварительно созданные функции в этих таблицах, _SentinelHealth() и _SentinelAudit(), а не напрямую запрашивать таблицы. Эти функции обеспечивают обратную совместимость запросов в случае внесения изменений в схему самих таблиц.

В первую очередь запросы должны фильтровать таблицы для данных, связанных с правилами аналитики. Используйте параметр SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Если вы хотите, можно дополнительно отфильтровать список для определенного типа правила аналитики. SentinelResourceKind Используйте для этого параметр.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Ниже приведены некоторые примеры запросов, которые помогут вам приступить к работе:

  • Найдите правила, которые не выполнялись успешно:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Найдите правила, которые были отключены автоматически.

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Подсчитывайте правила и запуски, которые успешно или завершилися ошибкой, по причине:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Поиск действия по удалению правил:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Поиск действий в правилах по имени правила и имени действия:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Найдите действие в правилах, по имени вызывающего объекта (удостоверение, выполняющее действие):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Состояния, ошибки и предлагаемые действия

Для выполнения правила запланированной аналитики или выполнения правила NRT analytics можно увидеть любое из следующих состояний и описаний:

  • Успех: правило выполнено успешно, создавая <n> оповещения.

  • Успех: правило выполнено успешно, но не достигло порогового значения (<n>), необходимого для создания оповещения.

  • Сбой. Это возможные описания сбоя правила и их возможности.

    Description Серверы
    При выполнении запроса произошла внутренняя ошибка сервера.
    Время ожидания выполнения запроса.
    Таблица, указанная в запросе, не найдена. Убедитесь, что подключен соответствующий источник данных.
    При выполнении запроса произошла семантическая ошибка. Попробуйте сбросить правило аналитики, изменив и сохранив его (без изменения параметров).
    Функция, вызываемая запросом, называется зарезервированным словом. Удалите или переименуйте функцию.
    При выполнении запроса произошла ошибка синтаксиса. Попробуйте сбросить правило аналитики, изменив и сохранив его (без изменения параметров).
    Рабочая область не существует.
    Этот запрос был найден для использования слишком большого количества системных ресурсов и не был запущен. Просмотрите и настройте правило аналитики. Ознакомьтесь с нашей язык запросов Kusto обзором и документацией по рекомендациям.
    Функция, вызываемая запросом, не найдена. Проверьте существование в рабочей области всех функций, вызываемых запросом.
    Рабочая область, используемая в запросе, не найдена. Убедитесь, что все рабочие области в запросе существуют.
    У вас нет разрешений на выполнение этого запроса. Попробуйте сбросить правило аналитики, изменив и сохранив его (без изменения параметров).
    У вас нет разрешений на доступ к одному или нескольким ресурсам в запросе.
    Запрос ссылается на путь к хранилищу, который не найден.
    Запрос был отказано в доступе к пути к хранилищу.
    В этой рабочей области определены несколько функций с одинаковым именем. Удалите или переименуйте избыточные функции и сбросите правило, изменив и сохранив его.
    Этот запрос не вернул какой-либо результат.
    Несколько результирующих наборов в этом запросе запрещены.
    Результаты запроса содержат несогласованные числа полей на строку.
    Выполнение правила было отложено из-за длительного приема данных.
    Выполнение правила было отложено из-за временных проблем.
    Оповещение не было обогащено из-за временных проблем.
    Оповещение не было обогащено из-за проблем сопоставления сущностей.
    <Число> сущностей было удалено в имени> оповещения из-за ограничения размера оповещения <32 КБ.
    <число> сущностей было удалено в имени> оповещения <из-за проблем сопоставления сущностей.
    Запрос привел к <числовых> событиям, превышающим максимальное ограничение> результатов, разрешенных <<для правил типа> правила правила с конфигурацией группирования событий оповещений на строку. Для первых <событий ограничения 1> создается оповещение на строку, а для всех событий создается дополнительное агрегированное оповещение.
    - <число> = количество событий, возвращаемых запросом
    - <limit> = в настоящее время 150 оповещений для запланированных правил, 30 для правил NRT
    — <тип> правила = Scheduled или NRT

Использование книги аудита и мониторинга работоспособности

  1. Чтобы сделать книгу доступной в рабочей области, необходимо установить решение книги из центра содержимого Microsoft Sentinel:

    1. На портале Microsoft Sentinel выберите центр контента (предварительная версия) в меню управления содержимым.

    2. В центре контента введите работоспособности в строке поиска и выберите "Аналитика работоспособности и аудита" из списков решений книг в разделе "Автономный" в результатах.

      Снимок экрана: выбор книги работоспособности аналитики из концентратора содержимого.

    3. Выберите " Установить" в области сведений и нажмите кнопку "Сохранить ", которая отображается на его месте.

  2. Когда решение указывает, что оно установлено, выберите книги в меню управления угрозами.

    Снимок экрана, показывающий, что решение книги аналитики работоспособности установлено из концентратора содержимого.

  3. В коллекции книг выберите вкладку "Шаблоны", введите работоспособности в строке поиска и выберите "Аналитика работоспособности" и "Аудит" из результатов.

    Снимок экрана: выбор книги работоспособности аналитики из коллекции шаблонов.

  4. Нажмите кнопку "Сохранить " в области сведений, чтобы создать редактируемую и доступную копию книги. После создания копии выберите Просмотр сохраненной книги.

  5. После создания книги сначала выберите подписку и рабочую область , которую вы хотите просмотреть (они могут быть выбраны), а затем определите TimeRange , чтобы отфильтровать данные в соответствии с вашими потребностями. Используйте переключатель Показать справку для отображения контекстных подсказок книги.

    Снимок экрана: вкладка обзора книги работоспособности правил аналитики.

В этой книге есть три раздела в виде вкладок:

Вкладка «Обзор»

На вкладке "Обзор" отображаются сводки о работоспособности и аудите:

  • Сводки о состоянии правила аналитики выполняются в выбранной рабочей области: количество запусков, успехов и сбоев, а также сведения о событии сбоя.
  • Сводки действий по правилам аналитики в выбранной рабочей области: количество действий с течением времени, количество действий по типу и количеству действий разных типов по правилу.

Вкладка "Работоспособность"

Вкладка "Работоспособное состояние" позволяет детализировать определенные события работоспособности.

Снимок экрана: выбор вкладки работоспособности в книге работоспособности аналитики.

  • Отфильтруйте все данные страницы по состоянию (успешному выполнению или сбою) и типу правила (scheduled/NRT).
  • См. тенденции успешных и /или неудачных запусков правил (в зависимости от фильтра состояния) за выбранный период времени. Вы можете "кисть времени" граф тренда увидеть подмножество исходного диапазона времени. Снимок экрана: правило аналитики выполняется со временем в книге работоспособности аналитики.
  • Отфильтруйте остальную часть страницы по причине.
  • См. общее количество запусков для всех правил аналитики, отображаемое пропорционально по состоянию на круговой диаграмме.
  • Ниже приведена таблица, показывающая количество правил уникальной аналитики, которые выполнялись, разбитые по типу правила и состоянию.
    • Выберите состояние, чтобы отфильтровать оставшиеся диаграммы для этого состояния.
    • Снимите фильтр, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: количество правил, выполняемых по состоянию и типу в книге работоспособности аналитики.
  • Просмотрите каждое состояние с количеством возможных причин для этого состояния. (Отображаются только причины, представленные в запусках в выбранном интервале времени.)
    • Выберите состояние, чтобы отфильтровать оставшиеся диаграммы для этого состояния.
    • Снимите фильтр, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: количество уникальных причин по состоянию в книге работоспособности аналитики.
  • Затем ознакомьтесь со списком этих причин, при этом общее количество запусков правил в сочетании и количество уникальных правил, выполняемых.
    • Выберите причину, чтобы отфильтровать следующие диаграммы по этой причине.
    • Снимите фильтр, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: правило выполняется по уникальной причине в книге работоспособности аналитики.
  • После этого будет список уникальных правил аналитики, которые выполнялись, с последними результатами и линиями трендов их успешности и (или) сбоя (в зависимости от состояния, выбранного для фильтрации списка).
    • Выберите правило для детализации и отображения новой таблицы со всеми запусками этого правила (в выбранном интервале времени).
    • Снимите таблицу, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: список уникальных правил выполнения с строками состояния и трендами в книге работоспособности аналитики.
  • Если вы выбрали правило в приведенном выше списке, новая таблица появится со сведениями о работоспособности выбранного правила. Снимок экрана: список запусков выбранного правила аналитики в книге работоспособности аналитики.

Вкладка "Аудит"

Вкладка "Аудит" позволяет выполнить детализацию до определенных событий аудита.

Снимок экрана: выбор вкладки аудита в книге работоспособности аналитики.

  • Фильтрация данных всей страницы по типу правила аудита (scheduled/Fusion).
  • См. тенденции аудита активности в правилах аналитики за выбранный период времени. Вы можете "кисть времени" граф тренда увидеть подмножество исходного диапазона времени. Снимок экрана: тенденция к активности аудита в книге работоспособности аналитики.
  • Ознакомьтесь с числами событий аудита, разделенными по типу действия и правила.
    • Выберите действие, чтобы отфильтровать следующие диаграммы для этого действия.
    • Снимите фильтр, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: количество событий аудита по действиям и типу книги работоспособности аналитики.
  • Просмотрите количество событий аудита по имени правила.
    • Выберите имя правила, чтобы отфильтровать следующую таблицу для этого правила, а также для детализации и отображения новой таблицы со всеми действиями в этом правиле (в выбранном интервале времени). (См. после следующего снимка экрана.)
    • Снимите фильтр, выбрав значок "Очистить выделение" (он выглядит как значок "Отменить" в правом верхнем углу диаграммы. Снимок экрана: аудит событий по имени правила и вызывающей службе в книге работоспособности аналитики.
  • Просмотрите количество аудита событий вызывающим оператором (удостоверение, выполняющее действие).
  • Если вы выбрали имя правила на диаграмме, показанной выше, появится другая таблица, показывающая проверенные действия в этом правиле. Выберите значение, которое отображается как ссылка в столбце ExtendedProperties, чтобы открыть боковую панель, отображающую изменения, внесенные в правило. Снимок экрана: действие аудита для выбранного правила в книге работоспособности аналитики.

Следующие шаги