你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Microsoft Sentinel 启用审核和运行状况监视(预览版)

通过在 Microsoft Sentinel 的“设置”页面中启用审核和运行状况监视功能来监视受支持的 Microsoft Sentinel 资源的运行状况并审核其完整性。 获取运行状况偏移的见解(例如最新的失败事件或状态从“成功”更改到“失败”)以及未授权操作的见解,并使用此信息创建通知和其他自动化操作。

若要从 SentinelHealth 数据表获取运行状况数据,或要从 SentinelAudit 数据表获取审核信息,必须先为工作区启用 Microsoft Sentinel 审核和运行状况监视功能。 本文介绍如何启用这些功能。

若要使用 API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) 实现运行状况和审核功能,请查看诊断设置操作。 若要配置审核和运行状况事件的保留时间,请参阅管理 Log Analytics 工作区中的数据保留

重要

SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

为工作区启用审核和运行状况监视

开始时,从 Microsoft Sentinel 设置启用审核和运行状况监视。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“配置”下选择“设置”>“设置”
    对于 Defender 门户中的 Microsoft Sentinel,请在“系统”下选择“设置”>“Microsoft Sentinel”

  2. 选择“审核和运行状况监视”

  3. 选择“启用”可跨所有资源类型启用审核和运行状况监视,并将审核和监视数据仅发送到 Microsoft Sentinel 工作区。

    或者,选择“配置诊断设置”链接,仅为数据收集器和/或自动化资源启用运行状况监视,或者配置高级选项,例如数据发送的更多位置

    如果选择了“启用”,则该按钮将灰显并更改为“启用...”,然后更改为“已启用”。 此时,审核和运行状况监视已启用,设置完成! 相应的诊断设置是在后台添加的,你可以通过选择“配置诊断设置”链接来查看和编辑它们。

  4. 如果选择了“配置诊断设置”,请在“诊断设置”屏幕中选择“+ 添加诊断设置”。

    (如果要编辑现有设置,请从诊断设置列表中选择。)

    • 在“诊断设置名称”字段中,为设置输入有意义的名称。

    • 在“日志”列中,为要监视的资源类型选择适当的“类别”,例如“数据收集 - 连接器”。 如果要监视分析规则,请选择“allLogs”。

    • 在“目标详细信息”下,选择“发送到 Log Analytics 工作区”,然后从下拉菜单中选择“订阅”和“Log Analytics 工作区”。

      屏幕截图为启用审核和运行状况监视的诊断设置屏幕。

      如果需要,还可以选择除 Log Analytics 工作区外的其他数据发送目标。

  5. 选择顶部横幅上的“保存”以保存新设置。

将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

验证表是否正在接收数据

在 Azure 门户或 Defender 门户中运行 Kusto 查询语言 (KQL) 查询,以确保获得运行状况和审核数据。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。
    对于 Defender 门户中的 Microsoft Sentinel,请在“调查和响应”下,选择“搜寻”>“高级搜寻”

  2. 对 SentinelHealth 表运行查询。 例如:

    _SentinelHealth()
     | take 20
    
  3. 对 SentinelAudit 表运行查询。 例如:

    _SentinelAudit()
     | take 20
    

支持的数据表和资源类型

启用该功能后,将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

Microsoft Sentinel 运行状况监视当前支持以下类型的资源:

  • 分析规则
  • 数据连接器
  • 自动化规则
  • playbook(Azure 逻辑应用工作流)

注意

监视 playbook 运行状况时,请确保从 playbook 中收集 Azure 逻辑应用诊断事件,以全面了解你的 playbook 活动。 有关详细信息,请参阅监视自动化规则和 playbook 的运行状况

审核目前仅支持分析规则资源类型。

后续步骤