Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker
För att säkerställa korrekt funktion och prestanda för din säkerhetsorkestrering, automatisering och svarsåtgärder i Microsoft Sentinel-tjänsten kan du hålla reda på hälsotillståndet för dina automatiseringsregler och spelböcker genom att övervaka deras körningsloggar.
Konfigurera meddelanden om hälsohändelser för relevanta intressenter som sedan kan vidta åtgärder. Definiera och skicka till exempel e-post eller Microsoft Teams-meddelanden, skapa nya biljetter i ditt biljettsystem och så vidare.
Den här artikeln beskriver hur du använder Microsoft Sentinels hälsoövervakningsfunktioner för att hålla reda på dina automatiseringsregler och spelböckers hälsa inifrån Microsoft Sentinel. Mer information finns i Granskning och hälsoövervakning i Microsoft Sentinel.
Använda datatabellen SentinelHealth (offentlig förhandsversion)
Om du vill hämta automationshälsodata från datatabellen SentinelHealth aktiverar du först Microsoft Sentinel-hälsofunktionen för din arbetsyta. Mer information finns i Aktivera hälsoövervakning för Microsoft Sentinel.
När hälsofunktionen är aktiverad skapas datatabellen SentinelHealth vid den första lyckade eller misslyckade händelsen som genereras för dina automatiseringsregler och spelböcker.
Förstå SentinelHealth-tabellhändelser
Följande typer av automationshälsohändelser loggas i tabellen SentinelHealth :
Automation-regelkörning. Loggas när en automatiseringsregels villkor uppfylls, vilket gör att den körs. Förutom fälten i den grundläggande SentinelHealth-tabellen innehåller dessa händelser utökade egenskaper som är unika för körning av automatiseringsregler, inklusive en lista över spelböckerna som anropas av regeln. Följande exempelfråga visar följande händelser:
SentinelHealth | where OperationName == "Automation rule run"Spelboken utlöstes. Loggas när en spelbok utlöses på en incident manuellt från portalen eller via API:et. Förutom fälten i den grundläggande SentinelHealth-tabellen innehåller dessa händelser utökade egenskaper som är unika för manuell utlösande av spelböcker. Följande exempelfråga visar följande händelser:
SentinelHealth | where OperationName == "Playbook was triggered"
Mer information finns i Schema för SentinelHealth-tabellkolumner.
Statusar, fel och föreslagna steg
För körningsstatus för Automation-regeln kan du se följande statusar:
Lyckades: regeln har körts, vilket utlöser alla åtgärder.
Delvis lyckad: regeln kördes och utlöste minst en åtgärd, men vissa åtgärder misslyckades.
Fel: Automatiseringsregeln körde ingen åtgärd på grund av någon av följande orsaker:
- Villkorsutvärderingen misslyckades.
- Villkoren uppfylldes, men den första åtgärden misslyckades.
För spelboken utlöstes status kan du se följande statusar:
Lyckades: spelboken utlöstes.
Fel: det gick inte att utlösa spelboken.
Kommentar
Framgång innebär bara att automationsregeln har utlöst en spelbok. Den visar inte när spelboken startade eller avslutades, resultatet av åtgärderna i spelboken eller det slutliga resultatet av spelboken.
Om du vill hitta den här informationen frågar du logic apps-diagnostikloggarna. Mer information finns i Hämta den fullständiga automationsbilden.
Felbeskrivningar och föreslagna åtgärder
| Felbeskrivning | Föreslagna åtgärder |
|---|---|
| Det gick inte att lägga till uppgiften: TaskName>.< Det gick inte att hitta incidenten/aviseringen. |
Kontrollera att incidenten/aviseringen finns och försök igen. |
| Det gick inte att lägga till uppgiften: TaskName>.< Incidenten innehåller redan det maximala tillåtna antalet uppgifter. |
Om den här uppgiften krävs kan du se om det finns några aktiviteter som kan tas bort eller konsolideras och försök igen. |
| Det gick inte att ändra egenskapen: PropertyName>.< Det gick inte att hitta incidenten/aviseringen. |
Kontrollera att incidenten/aviseringen finns och försök igen. |
| Det gick inte att ändra egenskapen: PropertyName>.< För många begäranden, överskrider begränsningsgränserna. |
|
| Det gick inte att utlösa spelboken: PlaybookName>.< Det gick inte att hitta incidenten/aviseringen. |
Om felet uppstod när du försökte utlösa en spelbok på begäran kontrollerar du att incidenten/aviseringen finns och försök igen. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Antingen hittades inte spelboken eller så saknade Microsoft Sentinel behörigheter för den. |
Redigera automatiseringsregeln, leta upp och välj spelboken på den nya platsen och spara. Kontrollera att Microsoft Sentinel har behörighet att köra den här spelboken. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Innehåller en utlösartyp som inte stöds. |
Kontrollera att din spelbok börjar med rätt Logic Apps-utlösare: Microsoft Sentinel-incident eller Microsoft Sentinel-avisering. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Prenumerationen är inaktiverad och markerad som skrivskyddad. Spelböcker i den här prenumerationen kan inte köras förrän prenumerationen har återaktiverats. |
Återaktivera Azure-prenumerationen där spelboken finns. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Spelboken har inaktiverats. |
Aktivera din spelbok i Microsoft Sentinel på fliken Aktiva spelböcker under Automation eller på resurssidan För Logic Apps. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Ogiltig malldefinition. |
Det finns ett fel i spelboksdefinitionen. Gå till Logic Apps-designern för att åtgärda problemen och spara spelboken. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Konfiguration av åtkomstkontroll begränsar Microsoft Sentinel. |
Logic Apps-konfigurationer gör det möjligt att begränsa åtkomsten till att utlösa spelboken. Den här begränsningen gäller för den här spelboken. Ta bort den här begränsningen så att Microsoft Sentinel inte blockeras. Läs mer |
| Det gick inte att utlösa spelboken: PlaybookName>.< Microsoft Sentinel saknar behörighet att köra den. |
Microsoft Sentinel kräver behörigheter för att köra spelböcker. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Spelboken har inte migrerats till den nya behörighetsmodellen. Ge Microsoft Sentinel behörighet att köra den här spelboken och återutge regeln. |
Ge Microsoft Sentinel behörighet att köra den här spelboken och återutge regeln. |
| Det gick inte att utlösa spelboken: PlaybookName>.< För många begäranden, vilket överskrider gränserna för arbetsflödesbegränsning. |
Antalet väntande arbetsflödeskörningar har överskridit den maximala tillåtna gränsen. Prova att öka värdet för i konfigurationen av 'maximumWaitingRuns' samtidighet för utlösare. |
| Det gick inte att utlösa spelboken: PlaybookName>.< För många begäranden, överskrider begränsningsgränserna. |
Läs mer om prenumerations- och klientbegränsningar. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Åtkomst förbjöds. Den hanterade identiteten saknar konfiguration eller så har nätverksbegränsningen för Logic Apps angetts. |
Om spelboken använder hanterad identitet kontrollerar du att den hanterade identiteten har tilldelats behörigheter. Spelboken kan ha regler för nätverksbegränsning som förhindrar att den utlöses eftersom de blockerar Microsoft Sentinel-tjänsten. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Prenumerationen eller resursgruppen var låst. |
Ta bort låset för att tillåta Spelböcker för Microsoft Sentinel-utlösare i det låsta omfånget. Läs mer om låsta resurser. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Anroparen saknar nödvändiga spelboksutlösande behörigheter för spelboken, eller så saknar Microsoft Sentinel behörigheter för den. |
Användaren som försöker utlösa spelboken på begäran saknar Rollen Logic Apps-deltagare i spelboken eller för att utlösa spelboken. Läs mer |
| Det gick inte att utlösa spelboken: PlaybookName>.< Ogiltiga autentiseringsuppgifter i anslutningen. |
Kontrollera de autentiseringsuppgifter som anslutningen använder i API-anslutningstjänsten i Azure-portalen. |
| Det gick inte att utlösa spelboken: PlaybookName>.< Arm-ID:t för spelboken är inte giltigt. |
Hämta den fullständiga automationsbilden
Med Microsoft Sentinels hälsoövervakningstabell kan du spåra när spelböcker utlöses, men för att övervaka vad som händer i dina spelböcker och deras resultat när de körs måste du också aktivera diagnostik i Azure Logic Apps för att mata in följande händelser i Tabellen AzureDiagnostics :
- {Åtgärdsnamn} har startats
- {Åtgärdsnamn} har avslutats
- Arbetsflödet (spelboken) har startats
- Arbetsflödet (spelboken) har avslutats
Dessa tillagda händelser ger ytterligare insikter om de åtgärder som vidtas i dina spelböcker.
Aktivera Azure Logic Apps-diagnostik
För varje spelbok som du är intresserad av övervakning aktiverar du Log Analytics för din logikapp. Välj Skicka till Log Analytics-arbetsyta som loggmål och välj din Microsoft Sentinel-arbetsyta.
Korrelera Loggar för Microsoft Sentinel och Azure Logic Apps
Nu när du har loggar för dina automatiseringsregler och spelböcker och loggar för dina enskilda Logic Apps-arbetsflöden på arbetsytan kan du korrelera dem för att få en fullständig bild. Överväg följande exempelfråga:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
Använda arbetsboken för hälsoövervakning
Arbetsboken Automation Health hjälper dig att visualisera dina hälsodata samt korrelationen mellan de två typer av loggar som vi nyss nämnde. Arbetsboken innehåller följande skärmar:
- Hälsa och information om automationsregeln
- Spelboksutlösarens hälsa och information
- Spelboken kör hälsa och information (kräver att Azure Diagnostic är aktiverat på spelboksnivå)
- Automatiseringsinformation per incident
Till exempel:
Välj fliken Spelböcker som körs av fliken Automation-regler för att se spelboksaktivitet.
Välj en spelbok för att se listan över dess körningar i diagrammet för ökad detaljnivå nedan.
Välj en viss körning för att se resultatet av åtgärderna i spelboken.
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina dataanslutningar.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Se mer information om sentinelhealth- och SentinelAudit-tabellscheman.