Мониторинг работоспособности правил автоматизации и сборников схем
Чтобы обеспечить надлежащее функционирование и производительность оркестрации безопасности, автоматизации и реагирования в службе Microsoft Sentinel, следите за работоспособностью правил автоматизации и сборников схем, отслеживая их журналы выполнения.
Настройте уведомления о событиях здравоохранения для соответствующих заинтересованных лиц, которые затем могут принять меры. Например, определите и отправьте сообщения электронной почты или сообщения Microsoft Teams, создайте новые билеты в системе билетов и т. д.
В этой статье описывается, как использовать функции мониторинга работоспособности Microsoft Sentinel для отслеживания правил автоматизации и работоспособности сборников схем из Microsoft Sentinel. Дополнительные сведения см. в разделе "Аудит и мониторинг работоспособности" в Microsoft Sentinel.
Использование таблицы данных SentinelHealth (общедоступная предварительная версия)
Чтобы получить данные о работоспособности службы автоматизации из таблицы данных SentinelHealth , сначала включите функцию работоспособности Microsoft Sentinel для рабочей области. Дополнительные сведения см. в разделе Включение мониторинга работоспособности для Microsoft Sentinel.
После включения функции работоспособности таблица данных SentinelHealth создается при первом успешном или неудачном событии, созданном для правил автоматизации и сборников схем.
Основные сведения о событиях таблицы SentinelHealth
В таблице SentinelHealth регистрируются следующие типы событий работоспособности автоматизации:
Запуск правила автоматизации. Регистрируется всякий раз, когда выполняются условия правила автоматизации, что приводит к его выполнению. Помимо полей в базовой таблице SentinelHealth , эти события будут включать расширенные свойства, уникальные для выполнения правил автоматизации, включая список сборников схем, вызываемых правилом. В следующем примере запроса будут отображаться следующие события:
SentinelHealth | where OperationName == "Automation rule run"Сборник схем был активирован. Регистрируется всякий раз, когда сборник схем активируется на инциденте вручную с портала или через API. Помимо полей в базовой таблице SentinelHealth , эти события будут включать расширенные свойства, уникальные для запуска сборников схем вручную. В следующем примере запроса будут отображаться следующие события:
SentinelHealth | where OperationName == "Playbook was triggered"
Дополнительные сведения см. в разделе Схема столбцов таблицы SentinelHealth.
Состояния, ошибки и предлагаемые действия
Для состояния выполнения правила автоматизации могут отображаться следующие состояния:
Успех: правило выполнено успешно, активируя все действия.
Частичный успех: правило выполнено и активировало по крайней мере одно действие, но некоторые действия завершилось сбоем.
Сбой: правило автоматизации не выполняло никаких действий из-за одной из следующих причин:
- Сбой оценки условий.
- Условия выполнены, но первое действие завершилось ошибкой.
Для состояния сборника схем могут отображаться следующие состояния:
Успех: сборник схем был активирован успешно.
Сбой: не удалось активировать сборник схем.
Примечание.
Успешное выполнение означает, что правило автоматизации успешно активировало сборник схем. Он не сообщает вам, когда сборник схем начал или закончился, результаты действий в сборнике схем или окончательный результат сборника схем.
Чтобы найти эти сведения, выполните запрос к журналам logic Apps диагностика. Дополнительные сведения см. в разделе "Получение полной картины автоматизации".
Описания ошибок и предлагаемые действия
| Описание ошибки | Предлагаемые действия |
|---|---|
| Не удалось добавить задачу: <TaskName>. Инцидент или оповещение не найдено. |
Убедитесь, что инцидент или оповещение существует и повторите попытку. |
| Не удалось добавить задачу: <TaskName>. Инцидент уже содержит максимально допустимое количество задач. |
Если эта задача требуется, просмотрите, есть ли какие-либо задачи, которые можно удалить или объединить, а затем повторите попытку. |
| Не удалось изменить свойство: <PropertyName>. Инцидент или оповещение не найдено. |
Убедитесь, что инцидент или оповещение существует и повторите попытку. |
| Не удалось изменить свойство: <PropertyName>. Слишком много запросов, превышающих ограничения регулирования. |
|
| Не удалось активировать сборник схем: <PlaybookName>. Инцидент или оповещение не найдено. |
Если при попытке активировать сборник схем по запросу произошла ошибка, убедитесь, что инцидент или оповещение существует и повторите попытку. |
| Не удалось активировать сборник схем: <PlaybookName>. Либо сборник схем не найден, либо в Microsoft Sentinel отсутствуют разрешения на него. |
Измените правило автоматизации, найдите и выберите сборник схем в новом расположении и сохраните его. Убедитесь, что Microsoft Sentinel имеет разрешение на запуск этой сборника схем. |
| Не удалось активировать сборник схем: <PlaybookName>. Содержит неподдерживаемый тип триггера. |
Убедитесь, что сборник схем начинается с правильного триггера Logic Apps: инцидент Microsoft Sentinel или оповещение Microsoft Sentinel. |
| Не удалось активировать сборник схем: <PlaybookName>. Подписка отключена и помечена как доступная только для чтения. Сборники схем в этой подписке нельзя запускать, пока подписка не будет включена повторно. |
Повторно включите подписку Azure, в которой находится сборник схем. |
| Не удалось активировать сборник схем: <PlaybookName>. Сборник схем отключен. |
Включите сборник схем в Microsoft Sentinel на вкладке "Активные сборники схем" в разделе "Автоматизация" или на странице ресурсов Logic Apps. |
| Не удалось активировать сборник схем: <PlaybookName>. Недопустимое определение шаблона. |
В определении сборника схем возникает ошибка. Перейдите в конструктор Logic Apps, чтобы устранить проблемы и сохранить сборник схем. |
| Не удалось активировать сборник схем: <PlaybookName>. Конфигурация управления доступом ограничивает Microsoft Sentinel. |
Конфигурации Logic Apps позволяют ограничить доступ для активации сборника схем. Это ограничение действует для этой сборника схем. Удалите это ограничение, чтобы Microsoft Sentinel не блокировался. Подробнее |
| Не удалось активировать сборник схем: <PlaybookName>. Microsoft Sentinel отсутствует разрешения для его запуска. |
Microsoft Sentinel требует разрешений для запуска сборников схем. |
| Не удалось активировать сборник схем: <PlaybookName>. Сборник схем не был перенесен в новую модель разрешений. Предоставьте разрешения Microsoft Sentinel для запуска этой сборника схем и повторного изменения правила. |
Предоставьте разрешения Microsoft Sentinel для запуска этой сборника схем и повторного изменения правила. |
| Не удалось активировать сборник схем: <PlaybookName>. Слишком много запросов, превышение ограничений регулирования рабочего процесса. |
Число запусков ожидающих рабочих процессов превысило максимально допустимое ограничение. Попробуйте увеличить значение конфигурации параллелизма триггера'maximumWaitingRuns'. |
| Не удалось активировать сборник схем: <PlaybookName>. Слишком много запросов, превышающих ограничения регулирования. |
Дополнительные сведения об ограничениях подписки и клиента. |
| Не удалось активировать сборник схем: <PlaybookName>. Доступ запрещен. Управляемое удостоверение отсутствует в конфигурации или установлено ограничение сети Logic Apps. |
Если сборник схем использует управляемое удостоверение, убедитесь, что управляемое удостоверение было назначено с разрешениями. Сборник схем может иметь правила ограничения сети, предотвращающие его активацию, так как они блокируют службу Microsoft Sentinel. |
| Не удалось активировать сборник схем: <PlaybookName>. Подписка или группа ресурсов заблокирована. |
Удалите блокировку, чтобы разрешить сборники схем триггеров Microsoft Sentinel в заблокированной области. Дополнительные сведения о заблокированных ресурсах. |
| Не удалось активировать сборник схем: <PlaybookName>. Вызывающий объект отсутствует необходимые разрешения для активации сборника схем в сборнике схем, или в Microsoft Sentinel отсутствуют разрешения на него. |
Пользователь, пытающийся активировать сборник схем по запросу, отсутствует роль участника Logic Apps в сборнике схем или активировать сборник схем. Подробнее |
| Не удалось активировать сборник схем: <PlaybookName>. Недопустимые учетные данные в соединении. |
Проверьте учетные данные, которые вы используете в службе подключений API в портал Azure. |
| Не удалось активировать сборник схем: <PlaybookName>. Недопустимый идентификатор ARM сборника схем. |
Получение полной картины автоматизации
Таблица мониторинга работоспособности Microsoft Sentinel позволяет отслеживать при активации сборников схем, но отслеживать, что происходит внутри сборников схем и их результатов при их выполнении, необходимо также включить диагностика в Azure Logic Apps, чтобы принять следующие события в таблицу AzureDiagnostics:
- {Имя действия} запущено
- {Имя действия} завершено
- Рабочий процесс (сборник схем) запущен
- Рабочий процесс (сборник схем) завершен
Эти добавленные события предоставляют дополнительные сведения о действиях, выполняемых в сборниках схем.
Включение диагностика Azure Logic Apps
Для каждого сборника схем, интересующихся мониторингом, включите Log Analytics для приложения логики. Обязательно выберите "Отправить в рабочую область Log Analytics" в качестве места назначения журнала и выберите рабочую область Microsoft Sentinel.
Сопоставление журналов Microsoft Sentinel и Azure Logic Apps
Теперь, когда у вас есть журналы для правил автоматизации и сборников схем и журналов для отдельных рабочих процессов Logic Apps в рабочей области, их можно сопоставить, чтобы получить полное изображение. Рассмотрим следующий пример запроса:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
Использование книги наблюдения за работоспособностью системы
Книга работоспособности службы автоматизации помогает визуализировать данные о работоспособности , а также корреляцию между двумя типами журналов, которые мы только что упомянули. В книге отображаются следующие элементы:
- Работоспособности правил автоматизации и подробных сведений
- Работоспособности и подробности триггера сборника схем
- Сборник схем выполняет работоспособности и сведения (требуется, чтобы служба диагностики Azure включена на уровне сборника схем)
- Сведения об автоматизации на инцидент
Например:
Выберите сборники схем, выполняемые с помощью вкладки "Правила автоматизации", чтобы просмотреть действие сборника схем.
Выберите сборник схем, чтобы просмотреть список его запусков на приведенной ниже диаграмме детализации.
Выберите конкретный запуск, чтобы просмотреть результаты действий в сборнике схем.
Следующие шаги
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность соединителей данных.
- Отслеживайте работоспособность и целостность правил аналитики.
- См. дополнительные сведения о схемах таблиц SentinelHealth и SentinelAudit.