Aktivera granskning och hälsoövervakning för Microsoft Sentinel (förhandsversion)

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Övervaka hälsotillståndet och granska integriteten för Microsoft Sentinel-resurser som stöds genom att aktivera funktionen för granskning och hälsoövervakning på sidan Inställningar i Microsoft Sentinel. Få insikter om hälsoavvikelser, till exempel de senaste felhändelserna eller ändringarna från lyckade till misslyckade tillstånd och om obehöriga åtgärder, och använd den här informationen för att skapa meddelanden och andra automatiserade åtgärder.

Om du vill hämta hälsodata från datatabellen SentinelHealth eller för att hämta granskningsinformation från datatabellen SentinelAudit måste du först aktivera microsoft Sentinel-gransknings- och hälsoövervakningsfunktionen för din arbetsyta. Den här artikeln beskriver hur du aktiverar dessa funktioner.

Om du vill implementera hälso- och granskningsfunktionen med hjälp av API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) granskar du åtgärderna för diagnostikinställningar. Information om hur du konfigurerar kvarhållningstiden för gransknings- och hälsohändelser finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

Viktigt!

Datatabellerna SentinelHealth och SentinelAudit finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

Aktivera granskning och hälsoövervakning för din arbetsyta

För att komma igång aktiverar du granskning och hälsoövervakning från Microsoft Sentinel-inställningarna.

  1. För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Inställningar>.
    För Microsoft Sentinel i Defender-portalen går du till System och väljer Inställningar>Microsoft Sentinel.

  2. Välj Granskning och hälsoövervakning.

  3. Välj Aktivera för att aktivera granskning och hälsoövervakning för alla resurstyper och för att skicka gransknings- och övervakningsdata till din Microsoft Sentinel-arbetsyta (och ingen annanstans).

    Eller välj länken Konfigurera diagnostikinställningar för att endast aktivera hälsoövervakning för datainsamlaren och/eller automationsresurserna, eller för att konfigurera avancerade alternativ, till exempel fler platser där data ska skickas.

    Om du har valt Aktivera blir knappen nedtonad och ändras till Aktivering ... och sedan Aktiverad. Vid den tidpunkten är granskning och hälsoövervakning aktiverat, och du är klar! Lämpliga diagnostikinställningar lades till i bakgrunden och du kan visa och redigera dem genom att välja länken Konfigurera diagnostikinställningar .

  4. Om du har valt Konfigurera diagnostikinställningar väljer du + Lägg till diagnostikinställning på skärmen Diagnostikinställningar.

    (Om du redigerar en befintlig inställning väljer du den i listan med diagnostikinställningar.)

    • I fältet Namndiagnostikinställning anger du ett beskrivande namn för inställningen.

    • I kolumnen Loggar väljer du lämpliga kategorier för de resurstyper som du vill övervaka, till exempel Datainsamling – Anslutningsappar. Välj allaLoggar om du vill övervaka analysregler.

    • Under Målinformation väljer du Skicka till Log Analytics-arbetsyta och väljer din prenumerations - och Log Analytics-arbetsyta i listrutorna.

      Skärmbild av skärmen diagnostikinställningar för aktivering av granskning och hälsoövervakning.

      Om du behöver det kan du välja andra mål som du vill skicka dina data till, utöver Log Analytics-arbetsytan.

  5. Välj Spara på den övre banderollen för att spara den nya inställningen.

Datatabellerna SentinelHealth och SentinelAudit skapas vid den första händelsen som genereras för de valda resurserna.

Kontrollera att tabellerna tar emot data

Kör KQL-frågor (Kusto-frågespråk) i Azure Portal eller Defender-portalen för att se till att du får hälso- och granskningsdata.

  1. För Microsoft Sentinel i Azure Portal väljer du Loggar under Allmänt.
    För Microsoft Sentinel i Defender-portalen går du till Undersökning och svar och väljer Jakt>Avancerad jakt.

  2. Kör en fråga i tabellen SentinelHealth . Till exempel:

    _SentinelHealth()
 | take 20

  3. Kör en fråga i tabellen SentinelAudit . Till exempel:

    _SentinelAudit()
 | take 20

Datatabeller och resurstyper som stöds

När funktionen är aktiverad skapas datatabellerna SentinelHealth och SentinelAudit vid den första händelsen som genereras för de valda resurserna.

Microsoft Sentinel-hälsoövervakning stöder för närvarande följande typer av resurser:

  • Analysregler
  • Dataanslutningar
  • Automatiseringsregler
  • Spelböcker (Azure Logic Apps-arbetsflöden)

Kommentar

När du övervakar spelbokshälsan måste du samla in diagnostikhändelser i Azure Logic Apps från dina spelböcker för att få en fullständig bild av spelboksaktiviteten. Mer information finns i Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.

Endast resurstypen analysregel stöds för närvarande för granskning.

Nästa steg