Granskning och hälsoövervakning i Microsoft Sentinel

Microsoft Sentinel är en viktig tjänst för att främja och skydda säkerheten för organisationens tekniska resurser och informationstillgångar, så du vill vara säker på att den alltid fungerar smidigt och utan interferens.

Du vill kontrollera att tjänstens många rörliga delar alltid fungerar som avsett och att den inte manipuleras av obehöriga åtgärder, vare sig av interna användare eller på annat sätt. Du kan också vilja konfigurera meddelanden om hälsoavvikelser eller obehöriga åtgärder som ska skickas till relevanta intressenter som kan svara eller godkänna ett svar. Du kan till exempel ange villkor för att utlösa sändning av e-postmeddelanden eller Microsoft Teams-meddelanden till driftteam, chefer eller tjänstemän, starta nya biljetter i ditt biljettsystem och så vidare.

Den här artikeln beskriver hur Microsoft Sentinels funktioner för hälsoövervakning och granskning gör att du kan övervaka aktiviteten för några av tjänstens viktigaste resurser och granska loggar för användaråtgärder i tjänsten.

Lagring av hälso- och granskningsdata

Hälso- och granskningsdata samlas in i två tabeller på Log Analytics-arbetsytan: SentinelHealth och SentinelAudit

Granskningsdata samlas in i tabellen SentinelAudit .

Hälsodata samlas in i tabellen SentinelHealth , som samlar in händelser som registrerar varje gång en automatiseringsregel körs och slutresultatet av dessa körningar. Tabellen SentinelHealth innehåller:

  • Om åtgärder som startas i regeln lyckas eller misslyckas och de spelböcker som anropas av regeln.
  • Händelser som registrerar utlösningen på begäran (manuell eller API-baserad) av spelböcker, inklusive de identiteter som utlöste dem och slutresultatet av dessa körningar

SentinelHealth-tabellen innehåller inte någon post för körningen av en spelboks innehåll, bara om spelboken har startats. En logg över de åtgärder som vidtas i en spelbok, som är Logic Apps-arbetsflöden, visas i tabellen AzureDiagnostics . AzureDiagnostics ger dig en fullständig bild av din automationshälsa när den används tillsammans med SentinelHealth-data.

Det vanligaste sättet att använda dessa data är genom att köra frågor mot dessa tabeller. För bästa resultat skapar du dina frågor på de fördefinierade funktionerna i dessa tabeller, _SentinelHealth() och _SentinelAudit(), i stället för att fråga tabellerna direkt. Dessa funktioner säkerställer underhållet av dina frågors bakåtkompatibilitet i händelse av att ändringar görs i själva schemat för tabellerna.

Tabellen SentinelHealth kan inte faktureras och debiteras inga avgifter för inmatning av hälsodata. Tabellen SentinelAudit är fakturerbar, och precis som i andra områden i Microsoft Sentinel beror kostnader som uppstår på loggvolymen, vilket kan påverkas av antalet aktiviteter och ändringar som görs i relaterade regler. Mer information finns i Planera kostnader och förstå priser och fakturering för Microsoft Sentinel.

Viktigt!

Datatabellerna SentinelHealth och SentinelAudit finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Frågor om att verifiera tjänstens hälsa och granska data

Använd följande frågor för att vägleda din övervakning av Microsoft Sentinels hälso- och granskningsdata:

Körs dataanslutningsappen korrekt?

Tar dataanslutningsappen emot data? Om du till exempel har instruerat Microsoft Sentinel att köra en fråga var femte minut vill du kontrollera om frågan utförs, hur den presterar och om det finns några risker eller sårbarheter relaterade till frågan.

Kördes en automatiseringsregel som förväntat?

Kördes automatiseringsregeln när den skulle – det vill säga när dess villkor uppfylldes? Kördes alla åtgärder i automatiseringsregeln?

Kördes en analysregel som förväntat?

Kördes analysregeln när den skulle och genererade den resultat? Om du förväntar dig att se vissa incidenter i kön men inte gör det vill du veta om regeln kördes men inte hittade något (eller tillräckligt med saker) eller inte kördes alls.

Har obehöriga ändringar gjorts i en analysregel?

Har något ändrats i regeln? Du fick inte de resultat som du förväntade dig från din analysregel och det hade inga hälsoproblem. Du vill se om några oplanerade ändringar har gjorts i regeln och i så fall vilka ändringar som har gjorts, av vem, var och när.

Flöde för hälso- och granskningsövervakning

Om du vill börja samla in hälso- och granskningsdata måste du aktivera hälso- och granskningsövervakning i Microsoft Sentinel-inställningarna. Sedan kan du gå in på hälso- och granskningsdata som Microsoft Sentinel samlar in:

Aktivitet Mer information
Kör frågor i datatabellerna SentinelHealth och SentinelAudit från sidan Microsoft Sentinel-loggar.
  • Dataanslutningsprogram
  • Automatiseringsregler och spelböcker (koppla frågor med Azure Logic Apps-diagnostik)
  • Analysregler
  • Använd de gransknings- och hälsoövervakningsarbetsböcker som tillhandahålls i Microsoft Sentinel.
  • Dataanslutningsprogram
  • Automatiseringsregler och spelböcker
  • Analysregler
  • Använda Microsoft Sentinels körningshanteringsverktyg för att övervaka och optimera schemalagda analysreglers körning
  • Övervaka och optimera körningen av dina schemalagda analysregler
  • Exportera data till olika mål, till exempel Log Analytics-arbetsytan, arkivering till ett lagringskonto med mera.
  • Diagnostikinställningar i Azure Monitor