Övervaka hälsotillståndet för dina dataanslutningar
För att säkerställa fullständig och oavbruten datainmatning i Microsoft Sentinel-tjänsten håller du reda på dina dataanslutningars hälsa, anslutning och prestanda.
Med följande funktioner kan du utföra den här övervakningen inifrån Microsoft Sentinel:
Arbetsbok för hälsoövervakning av datainsamling: Den här arbetsboken ger ytterligare övervakare, identifierar avvikelser och ger insikter om arbetsytans datainmatningsstatus. Du kan använda arbetsbokens logik för att övervaka den allmänna hälsan för inmatade data och skapa anpassade vyer och regelbaserade aviseringar.
SentinelHealth-datatabell (förhandsversion): Genom att köra frågor mot den här tabellen får du insikter om hälsoavvikelser, till exempel de senaste felhändelserna per anslutningsapp eller anslutningsappar med ändringar från lyckade till misslyckade tillstånd, som du kan använda för att skapa aviseringar och andra automatiserade åtgärder. Datatabellen SentinelHealth stöds för närvarande endast för valda dataanslutningar.
Viktigt!
Datatabellen SentinelHealth finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Visa hälsotillståndet och statusen för dina anslutna SAP-system: Granska hälsoinformationen för dina SAP-system under SAP-dataanslutningen och använd en mall för aviseringsregel för att få information om hälsotillståndet för SAP-agentens datainsamling.
Använda arbetsboken för hälsoövervakning
Kom igång genom att installera arbetsboken Datainsamlings hälsoövervakning från innehållshubben och visa eller skapa en kopia av mallen från avsnittet Arbetsböcker i Microsoft Sentinel.
För Microsoft Sentinel i Azure Portal går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.I innehållshubben anger du hälsa i sökfältet och väljer Hälsoövervakning av datainsamling bland resultaten.
Välj Installera i informationsfönstret. När du ser ett meddelande om att arbetsboken är installerad, eller om du ser Konfiguration i stället för Installera, fortsätter du till nästa steg.
Under Hothantering i Microsoft Sentinel väljer du Arbetsböcker.
På sidan Arbetsböcker väljer du fliken Mallar , anger hälsa i sökfältet och väljer Hälsoövervakning av datainsamling bland resultaten.
Välj Visa mall för att använda arbetsboken som den är eller välj Spara för att skapa en redigerbar kopia av arbetsboken. När kopian skapas väljer du Visa sparad arbetsbok.
När du är i arbetsboken väljer du först den prenumeration och arbetsyta som du vill visa och definierar sedan TimeRange för att filtrera data efter dina behov. Använd växlingsknappen Visa hjälp för att visa en förklaring på plats av arbetsboken.
Det finns tre avsnitt med flikar i den här arbetsboken:
Fliken Översikt visar den allmänna statusen för datainmatning på den valda arbetsytan: volymmått, EPS-priser och senaste mottagna loggen.
Fliken Datainsamlingsavvikelser hjälper dig att identifiera avvikelser i datainsamlingsprocessen, efter tabell och datakälla. Varje flik visar avvikelser för en viss tabell (fliken Allmänt innehåller en samling tabeller). Avvikelserna beräknas med hjälp av funktionen series_decompose_anomalies() som returnerar en avvikelsepoäng. Läs mer om den här funktionen. Ange följande parametrar för funktionen som ska utvärderas:
AnomaliesTimeRange: Den här tidsväljaren gäller endast för vyn datainsamlingsavvikelser.
SampleInterval: Tidsintervallet då data samplas i det angivna tidsintervallet. Avvikelsepoängen beräknas endast för det sista intervallets data.
PositiveAlertThreshold: Det här värdet definierar tröskelvärdet för positiv avvikelsepoäng. Den accepterar decimalvärden.
NegativeAlertThreshold: Det här värdet definierar tröskelvärdet för negativ avvikelsepoäng. Den accepterar decimalvärden.
På fliken Agentinformation visas information om hälsotillståndet för de agenter som är installerade på dina olika datorer, oavsett om de är virtuella Azure-datorer, andra virtuella molndatorer, lokala virtuella datorer eller fysiska. Övervaka systemplats, pulsslagsstatus och svarstid, tillgängligt minne och diskutrymme samt agentåtgärder.
I det här avsnittet måste du välja fliken som beskriver dina datorers miljö: välj fliken Azure-hanterade datorer om du bara vill visa Azure Arc-hanterade datorer. Välj fliken Alla datorer om du vill visa både hanterade och icke-Azure-datorer med Azure Monitor-agenten installerad.
Använda datatabellen SentinelHealth (offentlig förhandsversion)
Om du vill hämta dataanslutningshälsodata från datatabellen SentinelHealth måste du först aktivera Microsoft Sentinel-hälsofunktionen för din arbetsyta. Mer information finns i Aktivera hälsoövervakning för Microsoft Sentinel.
När hälsofunktionen är aktiverad skapas datatabellen SentinelHealth vid den första lyckade eller misslyckade händelsen som genereras för dina dataanslutningar.
Dataanslutningsprogram som stöds
Datatabellen SentinelHealth stöds för närvarande endast för följande dataanslutningar:
- Amazon Web Services (CloudTrail och S3)
- Dynamics 365
- Office 365
- Microsoft Defender för Endpoint
- Hotinformation – TAXII
- Plattformar för hotinformation
- Alla anslutningsappar baserade på plattform för kodlös anslutningsapp
Förstå SentinelHealth-tabellhändelser
Följande typer av hälsohändelser loggas i tabellen SentinelHealth :
Statusändring för datahämtning. Loggas en gång i timmen så länge en dataanslutningsstatus förblir stabil, med antingen kontinuerliga lyckade eller misslyckade händelser. Så länge en dataanslutningsstatus inte ändras fungerar övervakning endast per timme för att förhindra redundant granskning och minska tabellstorleken. Om dataanslutningsappens status har kontinuerliga fel inkluderas ytterligare information om felen i kolumnen ExtendedProperties .
Om dataanslutningsappens status ändras, antingen från en lyckad till misslyckad, från misslyckad till lyckad eller har ändringar i felorsaker, loggas händelsen omedelbart så att ditt team kan vidta proaktiva och omedelbara åtgärder.
Potentiellt tillfälliga fel, till exempel begränsning av källtjänsten, loggas endast efter att de har fortsatt i mer än 60 minuter. Med de här 60 minuterna kan Microsoft Sentinel lösa ett tillfälligt problem i serverdelen och komma ikapp med data, utan att kräva någon användaråtgärd. Fel som definitivt inte är tillfälliga loggas omedelbart.
Felsammanfattning. Loggas en gång i timmen, per anslutningsapp, per arbetsyta, med en aggregerad felsammanfattning. Sammanfattningshändelser för fel skapas endast när anslutningsappen har drabbats av avsökningsfel under den angivna timmen. De innehåller eventuell extra information som anges i kolumnen ExtendedProperties , till exempel tidsperioden för vilken anslutningsappens källplattform efterfrågades och en distinkt lista över fel som påträffades under tidsperioden.
Mer information finns i Schema för SentinelHealth-tabellkolumner.
Köra frågor för att identifiera hälsoavvikelser
Skapa frågor i tabellen SentinelHealth som hjälper dig att identifiera hälsoavvikelser i dina dataanslutningar. Till exempel:
Identifiera de senaste felhändelserna per anslutningsapp:
SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'
Identifiera anslutningsappar med ändringar från fel till lyckat tillstånd:
let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'
Identifiera anslutningsappar med ändringar från lyckat till feltillstånd:
let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'
Konfigurera aviseringar och automatiserade åtgärder för hälsoproblem
Du kan använda Microsoft Sentinel-analysregler för att konfigurera automatisering i Microsoft Sentinel-loggar, men om du vill bli meddelad och vidta omedelbara åtgärder för hälsoavvikelser i dina dataanslutningar rekommenderar vi att du använder Azure Monitor-aviseringsregler.
Till exempel:
I en Azure Monitor-aviseringsregel väljer du din Microsoft Sentinel-arbetsyta som regelomfång och Anpassad loggsökning som det första villkoret.
Anpassa aviseringslogik efter behov, till exempel frekvens eller återställningstid, och använd sedan frågor för att söka efter hälsoavvikelser.
För regelåtgärderna väljer du en befintlig åtgärdsgrupp eller skapar en ny efter behov för att konfigurera push-meddelanden eller andra automatiserade åtgärder som att utlösa en logikapp, webhook eller Azure-funktion i systemet.
Mer information finns i Översikt över Azure Monitor-aviseringar och Azure Monitor-aviseringslogg.
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Se mer information om sentinelhealth- och SentinelAudit-tabellscheman.