Monitorování stavu pravidel automatizace a playbooků
Pokud chcete zajistit správné fungování a výkon operací orchestrace zabezpečení, automatizace a reakcí ve službě Microsoft Sentinel, sledujte stav pravidel automatizace a playbooků monitorováním protokolů spouštění.
Nastavte oznámení o událostech stavu pro relevantní zúčastněné strany, kteří pak můžou provádět akce. Můžete například definovat a posílat e-maily nebo zprávy Microsoft Teams, vytvářet nové lístky v systému lístků atd.
Tento článek popisuje, jak pomocí funkcí monitorování stavu služby Microsoft Sentinel sledovat pravidla automatizace a stav playbooků z Microsoft Sentinelu. Další informace najdete v tématu Auditování a monitorování stavu v Microsoft Sentinelu.
Použití tabulky dat SentinelHealth (Public Preview)
Pokud chcete získat data o stavu automatizace z tabulky dat SentinelHealth , nejprve zapněte funkci stavu Služby Microsoft Sentinel pro váš pracovní prostor. Další informace najdete v tématu Zapnutí monitorování stavu pro Microsoft Sentinel.
Jakmile je funkce stavu zapnutá, vytvoří se tabulka dat SentinelHealth při první úspěšné nebo neúspěšné události vygenerované pro pravidla automatizace a playbooky.
Principy událostí tabulky SentinelHealth
V tabulce SentinelHealth jsou zaznamenány následující typy událostí stavu automatizace:
Spuštění pravidla automatizace Zaprotokoluje se při splnění podmínek pravidla automatizace, což způsobí jeho spuštění. Kromě polí v základní tabulce SentinelHealth budou tyto události zahrnovat rozšířené vlastnosti jedinečné pro spouštění pravidel automatizace, včetně seznamu playbooků, které toto pravidlo volá. Následující ukázkový dotaz zobrazí tyto události:
SentinelHealth | where OperationName == "Automation rule run"Playbook se aktivoval. Protokoluje se při každém ručním spuštění playbooku na incidentu z portálu nebo prostřednictvím rozhraní API. Kromě polí v základní tabulce SentinelHealth budou tyto události zahrnovat rozšířené vlastnosti jedinečné pro ruční aktivaci playbooků. Následující ukázkový dotaz zobrazí tyto události:
SentinelHealth | where OperationName == "Playbook was triggered"
Další informace najdete ve schématu sloupců tabulky SentinelHealth.
Stavy, chyby a navrhované kroky
U stavu spuštění pravidla Automation se můžou zobrazit následující stavy:
Úspěch: Pravidlo se úspěšně spustilo a aktivovalo všechny akce.
Částečný úspěch: Pravidlo se spustilo a aktivovalo alespoň jednu akci, ale některé akce selhaly.
Selhání: Pravidlo automatizace nespustí žádnou akci z jednoho z následujících důvodů:
- Vyhodnocení podmínek se nezdařilo.
- Podmínky byly splněny, ale první akce se nezdařila.
U playbooku se aktivoval stav, může se zobrazit následující stav:
Úspěch: Playbook se úspěšně aktivoval.
Selhání: Playbook nelze aktivovat.
Poznámka:
Úspěch znamená, že pravidlo automatizace úspěšně aktivovalo playbook. Neřekne vám, kdy playbook začal nebo skončil, výsledky akcí v playbooku nebo konečný výsledek playbooku.
Pokud chcete tyto informace najít, zadejte dotaz na diagnostické protokoly Logic Apps. Další informace najdete v tématu Získání kompletního obrázku automatizace.
Popisy chyb a navrhované akce
| Popis chyby | Navrhované akce |
|---|---|
| Úkol nelze přidat: TaskName>.< Incident nebo výstraha nebyla nalezena. |
Ujistěte se, že incident nebo výstraha existuje, a zkuste to znovu. |
| Úkol nelze přidat: TaskName>.< Incident již obsahuje maximální povolený počet úkolů. |
Pokud je tento úkol povinný, podívejte se, jestli existují nějaké úkoly, které je možné odebrat nebo konsolidovat, a zkuste to znovu. |
| Nelze změnit vlastnost: PropertyName>.< Incident nebo výstraha nebyla nalezena. |
Ujistěte se, že incident nebo výstraha existuje, a zkuste to znovu. |
| Nelze změnit vlastnost: PropertyName>.< Příliš mnoho požadavků, překročení limitů omezování |
|
| Playbook nelze aktivovat: PlaybookName>.< Incident nebo výstraha nebyla nalezena. |
Pokud k chybě došlo při pokusu o aktivaci playbooku na vyžádání, ujistěte se, že incident nebo výstraha existuje, a zkuste to znovu. |
| Playbook nelze aktivovat: PlaybookName>.< Playbook nebyl nalezen nebo v něm chybí oprávnění microsoft Sentinelu. |
Upravte pravidlo automatizace, vyhledejte a vyberte playbook v novém umístění a uložte ho. Ujistěte se, že má Microsoft Sentinel oprávnění ke spuštění tohoto playbooku. |
| Playbook nelze aktivovat: PlaybookName>.< Obsahuje nepodporovaný typ triggeru. |
Ujistěte se, že váš playbook začíná správnou aktivační událostí Logic Apps: Incident Microsoft Sentinelu nebo Upozornění Microsoft Sentinelu. |
| Playbook nelze aktivovat: PlaybookName>.< Předplatné je zakázané a označené jako jen pro čtení. Playbooky v tomto předplatném nelze spustit, dokud se předplatné znovu nepovolí. |
Znovu povolte předplatné Azure, ve kterém se playbook nachází. |
| Playbook nelze aktivovat: PlaybookName>.< Playbook byl zakázaný. |
Povolte playbook, v Microsoft Sentinelu na kartě Aktivní playbooky v části Automatizace nebo na stránce prostředku Logic Apps. |
| Playbook nelze aktivovat: PlaybookName>.< Neplatná definice šablony |
V definici playbooku došlo k chybě. Přejděte do návrháře Logic Apps a opravte problémy a playbook uložte. |
| Playbook nelze aktivovat: PlaybookName>.< Konfigurace řízení přístupu omezuje Microsoft Sentinel. |
Konfigurace Logic Apps umožňují omezit přístup k aktivaci playbooku. Toto omezení platí pro tento playbook. Odeberte toto omezení, aby služba Microsoft Sentinel nebyla blokovaná. Další informace |
| Playbook nelze aktivovat: PlaybookName>.< Ve službě Microsoft Sentinel chybí oprávnění ke spuštění. |
Microsoft Sentinel vyžaduje oprávnění ke spouštění playbooků. |
| Playbook nelze aktivovat: PlaybookName>.< Playbook se nemigroval na nový model oprávnění. Udělte Microsoft Sentinelu oprávnění ke spuštění tohoto playbooku a opětovnému uložení pravidla. |
Udělte Microsoft Sentinelu oprávnění ke spuštění tohoto playbooku a opětovnému uložení pravidla. |
| Playbook nelze aktivovat: PlaybookName>.< Příliš mnoho požadavků, které překračují limity omezování pracovního postupu. |
Počet spuštění čekajících pracovních postupů překročil maximální povolený limit. Zkuste zvýšit hodnotu 'maximumWaitingRuns' v konfiguraci souběžnosti triggeru. |
| Playbook nelze aktivovat: PlaybookName>.< Příliš mnoho požadavků, překročení limitů omezování |
Přečtěte si další informace o omezeních předplatného a tenanta. |
| Playbook nelze aktivovat: PlaybookName>.< Přístup byl zakázán. Spravovaná identita chybí konfigurace nebo bylo nastaveno omezení sítě Logic Apps. |
Pokud playbook používá spravovanou identitu, ujistěte se, že byla spravovaná identita přiřazena s oprávněními. Playbook může mít pravidla omezení sítě, která brání jeho aktivaci, protože blokují službu Microsoft Sentinel. |
| Playbook nelze aktivovat: PlaybookName>.< Předplatné nebo skupina prostředků byly uzamčeny. |
Odeberte zámek a povolte tak playbooky triggeru Služby Microsoft Sentinel v uzamčeném oboru. Přečtěte si další informace o uzamčených prostředcích. |
| Playbook nelze aktivovat: PlaybookName>.< Volajícím chybí požadovaná oprávnění k playbooku, která aktivují playbook, nebo v něm chybí oprávnění microsoft Sentinelu. |
Uživateli, který se pokouší aktivovat playbook na vyžádání, chybí role přispěvatele Logic Apps na playbooku nebo k aktivaci playbooku. Další informace |
| Playbook nelze aktivovat: PlaybookName>.< Neplatné přihlašovací údaje v připojení. |
Zkontrolujte přihlašovací údaje, které vaše připojení používá ve službě připojení rozhraní API na webu Azure Portal. |
| Playbook nelze aktivovat: PlaybookName>.< ID ARM playbooku není platné. |
Získání kompletního obrázku automatizace
Tabulka monitorování stavu služby Microsoft Sentinel umožňuje sledovat, kdy se playbooky aktivují, ale pokud chcete monitorovat, co se stane uvnitř playbooků a jejich výsledků při jejich spuštění, musíte také zapnout diagnostiku v Azure Logic Apps a ingestovat následující události do tabulky AzureDiagnostics :
- {Název akce} byl zahájen.
- {Název akce} skončil.
- Pracovní postup (playbook) zahájen
- Pracovní postup (playbook) skončil
Tyto přidané události poskytují další přehled o akcích provedených v playbookech.
Zapnutí diagnostiky Azure Logic Apps
Pro každý playbook, který vás zajímá o monitorování, povolte Log Analytics pro vaši aplikaci logiky. Nezapomeňte jako cíl protokolu vybrat možnost Odeslat do pracovního prostoru služby Log Analytics a zvolit pracovní prostor Microsoft Sentinelu.
Korelace protokolů Microsoft Sentinelu a Azure Logic Apps
Teď, když máte protokoly pro pravidla automatizace a playbooky a protokoly pro jednotlivé pracovní postupy Logic Apps v pracovním prostoru, můžete je korelovat, abyste získali kompletní obrázek. Představte si následující ukázkový dotaz:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
Použití sešitu monitorování stavu
Sešit stavu služby Automation vám pomůže vizualizovat data o stavu a korelaci mezi dvěma typy protokolů, které jsme právě zmínili. Sešit obsahuje následující zobrazení:
- Stav pravidla automatizace a podrobnosti
- Stav a podrobnosti triggeru playbooku
- Playbook spouští stav a podrobnosti (vyžaduje diagnostiku Azure povolenou na úrovni playbooku).
- Podrobnosti o automatizaci na incident
Příklad:
Vyberte playbooky spuštěné na kartě Pravidla automatizace a zobrazte aktivitu playbooku.
Výběrem playbooku zobrazíte seznam jeho spuštění v níže uvedeném grafu přechodu k podrobnostem.
Výběrem konkrétního spuštění zobrazíte výsledky akcí v playbooku.
Další kroky
- Přečtěte si o auditování a monitorování stavu v Microsoft Sentinelu.
- Zapněte auditování a monitorování stavu v Microsoft Sentinelu.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Další informace o schématech tabulek SentinelHealth a SentinelAudit