Övervaka hälsotillståndet och granska integriteten för dina analysregler

För att säkerställa omfattande, oavbruten och manipuleringsfri hotidentifiering i Microsoft Sentinel-tjänsten håller du reda på dina analysreglers hälsa och integritet och ser till att de fungerar optimalt, genom att övervaka deras körningsinsikter, genom att fråga hälso- och granskningsloggarna och genom att använda manuell omkörning för att testa och optimera dina regler.

Konfigurera meddelanden om hälso- och granskningshändelser för relevanta intressenter som sedan kan vidta åtgärder. Definiera och skicka till exempel e-post eller Microsoft Teams-meddelanden, skapa nya biljetter i ditt biljettsystem och så vidare.

Den här artikeln beskriver hur du använder Microsoft Sentinels gransknings - och hälsoövervakningsfunktioner för att hålla reda på dina analysreglers hälsa och integritet inifrån Microsoft Sentinel.

Information om regelinsikter och manuell omkörning av regler finns i Övervaka och optimera körningen av dina schemalagda analysregler.

Viktigt!

Datatabellerna SentinelHealth och SentinelAudit finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Sammanfattning

  • Hälsologgar för Microsoft Sentinel-analysregler:

    • Den här loggen samlar in händelser som registrerar körningen av analysregler och slutresultatet av dessa körningar – om de lyckades eller misslyckades, och om de misslyckades, varför.
    • Loggen registrerar också för varje körning av en analysregel:
      • Hur många händelser som fångades av regelns fråga.
      • Om antalet händelser har passerat tröskelvärdet som definierats i regeln, vilket gör att regeln utlöses av en avisering.

    Dessa loggar samlas in i tabellen SentinelHealth i Log Analytics.

  • Granskningsloggar för Microsoft Sentinel-analysregler:

    • Den här loggen registrerar händelser som registrerar ändringar som gjorts i en analysregel, inklusive följande information:
      • Namnet på regeln som ändrades.
      • Vilka egenskaper för regeln har ändrats.
      • Tillståndet för regelinställningarna före och efter ändringen.
      • Den användare eller identitet som gjorde ändringen.
      • Käll-IP och datum/tid för ändringen.
      • ... och mycket mer.

    Dessa loggar samlas in i tabellen SentinelAudit i Log Analytics.

Använda datatabellerna SentinelHealth och SentinelAudit (förhandsversion)

Om du vill hämta gransknings- och hälsodata från tabellerna som beskrivs ovan måste du först aktivera Microsoft Sentinel-hälsofunktionen för din arbetsyta. Mer information finns i Aktivera granskning och hälsoövervakning för Microsoft Sentinel.

När hälsofunktionen är aktiverad skapas datatabellen SentinelHealth vid den första lyckade eller misslyckade händelsen som genereras för dina automatiseringsregler och spelböcker.

Förstå sentinelhealth- och SentinelAudit-tabellhändelser

Följande typer av hälsohändelser för analysregler loggas i tabellen SentinelHealth :

  • Schemalagd analysregelkörning.

  • NRT-analysregelkörning.

    Mer information finns i Schema för SentinelHealth-tabellkolumner.

Följande typer av granskningshändelser för analysregler loggas i tabellen SentinelAudit :

  • Skapa eller uppdatera analysregeln.

  • Analysregeln har tagits bort.

    Mer information finns i Schema för SentinelAudit-tabellkolumner.

Köra frågor för att identifiera problem med hälsotillstånd och integritet

För bästa resultat bör du skapa dina frågor på de fördefinierade funktionerna i dessa tabeller, _SentinelHealth() och _SentinelAudit(), i stället för att fråga tabellerna direkt. Dessa funktioner säkerställer underhållet av dina frågors bakåtkompatibilitet i händelse av att ändringar görs i själva schemat för tabellerna.

Som ett första steg bör dina frågor filtrera tabellerna för data som är relaterade till analysregler. Använd parametern SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Om du vill kan du filtrera listan ytterligare för en viss typ av analysregel. Använd parametern SentinelResourceKind för detta.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Här följer några exempelfrågor som hjälper dig att komma igång:

  • Hitta regler som inte har körts:

    _SentinelHealth()
    | where SentinelResourceType == "Analytics Rule"
    | where Status != "Success"
    
  • Hitta regler som har "inaktiverats automatiskt":

    _SentinelHealth()
    | where SentinelResourceType == "Analytics Rule"
    | where Reason == "The analytics rule is disabled and was not executed."
    
  • Räkna de regler och körningar som lyckades eller misslyckades av orsak:

    _SentinelHealth()
    | where SentinelResourceType == "Analytics Rule"
    | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
    
  • Sök efter regelborttagningsaktivitet:

    _SentinelAudit()
    | where SentinelResourceType =="Analytic Rule"
    | where Description =="Analytics rule deleted"
    
  • Hitta aktivitet för regler, efter regelnamn och aktivitetsnamn:

    _SentinelAudit()
    | where SentinelResourceType =="Analytic Rule"
    | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
    
  • Hitta aktivitet på regler, efter namn på anroparen (identiteten som utförde aktiviteten):

    _SentinelAudit()
    | where SentinelResourceType =="Analytic Rule"
    | extend Caller= tostring(ExtendedProperties.CallerName)
    | summarize Count = count() by Caller, Activity=Description
    

Statusar, fel och föreslagna steg

För antingen schemalagd analysregelkörning eller NRT-analysregelkörning kan du se någon av följande statusar och beskrivningar:

  • Lyckades: Regeln har körts, vilket genererar <n> aviseringar.

  • Lyckades: Regeln har körts, men nådde inte det tröskelvärde (<n>) som krävs för att generera en avisering.

  • Fel: Det här är de möjliga beskrivningarna för regelfel och vad du kan göra åt dem.

    beskrivning Åtgärder
    Ett internt serverfel uppstod när frågan kördes.
    Tidsgränsen för frågekörningen översågs.
    Det gick inte att hitta en tabell som refereras till i frågan. Kontrollera att relevant datakälla är ansluten.
    Ett semantiskt fel uppstod när frågan kördes. Försök att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    En funktion som anropas av frågan namnges med ett reserverat ord. Ta bort eller byt namn på funktionen.
    Ett syntaxfel uppstod när frågan kördes. Försök att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    Arbetsytan finns inte.
    Den här frågan visade sig använda för många systemresurser och hindrades från att köras. Granska och justera analysregeln. Läs vår dokumentation om Kusto-frågespråk översikt och metodtips.
    Det gick inte att hitta en funktion som anropades av frågan. Kontrollera att det finns i arbetsytan för alla funktioner som anropas av frågan.
    Det gick inte att hitta arbetsytan som användes i frågan. Kontrollera att alla arbetsytor i frågan finns.
    Du har inte behörighet att köra den här frågan. Försök att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    Du har inte åtkomstbehörighet till en eller flera av resurserna i frågan.
    Frågan refererade till en lagringssökväg som inte hittades.
    Frågan nekades åtkomst till en lagringssökväg.
    Flera funktioner med samma namn definieras på den här arbetsytan. Ta bort eller byt namn på den redundanta funktionen och återställ regeln genom att redigera och spara den.
    Den här frågan returnerade inget resultat.
    Flera resultatuppsättningar i den här frågan är inte tillåtna.
    Frågeresultatet innehåller inkonsekvent antal fält per rad.
    Regelns körning försenades på grund av långa datainmatningstider.
    Regelns körning försenades på grund av tillfälliga problem.
    Aviseringen berikades inte på grund av tillfälliga problem.
    Aviseringen berikades inte på grund av problem med entitetsmappning.
    <antal> entiteter togs bort i aviseringsnamnet <> på grund av aviseringsstorleksgränsen på 32 KB.
    <antal> entiteter togs bort i aviseringsnamnet <> på grund av problem med entitetsmappning.
    Frågan resulterade i <talhändelser> , vilket överskrider det högsta tillåtna <gränsresultatet> för <regeltypregler> med konfiguration av händelsegruppering per rad. Avisering per rad genererades för första <limit-1-händelser> och en ytterligare aggregerad avisering genererades för att ta hänsyn till alla händelser.
    - <tal> = antal händelser som returneras av frågan
    - <limit> = för närvarande 150 aviseringar för schemalagda regler, 30 för NRT-regler
    - <regeltyp> = Schemalagd eller NRT

Använda arbetsboken för granskning och hälsoövervakning

  1. Om du vill göra arbetsboken tillgänglig på din arbetsyta måste du installera arbetsbokslösningen från Microsoft Sentinel-innehållshubben:

    1. Från Microsoft Sentinel-portalen väljer du Innehållshubb (förhandsversion)menyn Innehållshantering .

    2. I innehållshubben anger du hälsa i sökfältet och väljer Analytics Health &Audit bland arbetsbokslösningarna under Fristående i resultatet.

      Skärmbild av val av hälsoarbetsbok för analys från innehållshubben.

    3. Välj Installera i informationsfönstret och välj sedan Spara som visas i dess ställe.

  2. När lösningen anger att den är installerad väljer du Arbetsböckermenyn Hothantering .

    Skärmbild av indikation på att lösningen för hälsoarbetsboken för analys är installerad från innehållshubben.

  3. I galleriet Arbetsböcker väljer du fliken Mallar, anger hälsa i sökfältet och väljer Analytics Health &audit bland resultaten.

    Skärmbild av att välja hälsoarbetsbok för analys från mallgalleriet.

  4. Välj Spara i informationsfönstret för att skapa en redigerbar och användbar kopia av arbetsboken. När kopian skapas väljer du Visa sparad arbetsbok.

  5. När du är i arbetsboken väljer du först den prenumeration och arbetsyta som du vill visa (de kanske redan har valts) och definierar sedan TimeRange för att filtrera data efter dina behov. Använd växlingsknappen Visa hjälp för att visa en förklaring på plats av arbetsboken.

    Skärmbild av översiktsfliken för hälsoarbetsbok för analysregel.

Det finns tre avsnitt med flikar i den här arbetsboken:

Fliken Översikt

Fliken Översikt visar hälso- och granskningssammanfattningar:

  • Hälsosammanfattningar för status för analysregelkörningar på den valda arbetsytan: antal körningar, lyckade och misslyckade körningar samt information om felhändelser.
  • Granska sammanfattningar av aktiviteter för analysregler på den valda arbetsytan: antal aktiviteter över tid, antal aktiviteter efter typ och antal aktiviteter av olika typer efter regel.

Fliken Hälsa

fliken Hälsa kan du öka detaljnivån för specifika hälsohändelser.

Skärmbild av val av fliken Hälsa i arbetsboken för analyshälsa.

  • Filtrera hela siddata efter status (lyckad/misslyckad) och regeltyp (schemalagd/NRT).
  • Se trenderna för lyckade och/eller misslyckade regelkörningar (beroende på statusfiltret) under den valda tidsperioden. Du kan "tidsborsta" trenddiagrammet för att se en delmängd av det ursprungliga tidsintervallet. Skärmbild av analysregeln körs över tid i arbetsboken för analyshälsa.
  • Filtrera resten av sidan efter orsak.
  • Se det totala antalet körningar för alla analysregler, som visas proportionellt efter status i ett cirkeldiagram.
  • Följande är en tabell som visar antalet unika analysregler som kördes, uppdelade efter regeltyp och status.
    • Välj en status för att filtrera de återstående diagrammen för den statusen.
    • Rensa filtret genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet regler som körs efter status och skriv in arbetsboken för analyshälsa.
  • Se varje status, med antalet möjliga orsaker till den statusen. (Endast orsaker som representeras i körningarna inom den valda tidsramen visas.)
    • Välj en status för att filtrera de återstående diagrammen för den statusen.
    • Rensa filtret genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet unika orsaker efter status i hälsoarbetsboken för analys.
  • Se sedan en lista över dessa orsaker, där antalet totala regelkörningar kombineras och antalet unika regler som kördes.
    • Välj en orsak för att filtrera följande diagram av den anledningen.
    • Rensa filtret genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av regelkörningar av unik orsak i hälsoarbetsboken för analys.
  • Därefter finns en lista över de unika analysregler som kördes, med de senaste resultaten och trendlinjerna för deras lyckade och/eller misslyckade (beroende på vilken status som valts för att filtrera listan).
    • Välj en regel för att öka detaljnivån och visa en ny tabell med alla körningar av regeln (inom den valda tidsramen).
    • Rensa tabellen genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av listan över unika regler som körs, med status och trendlinjer, i arbetsboken för analyshälsa.
  • Om du har valt en regel i listan ovan visas en ny tabell med hälsoinformationen för den valda regeln. Skärmbild av listan över körningar av den valda analysregeln i arbetsboken för analyshälsa.

Fliken Granskning

fliken Granskning kan du öka detaljnivån för specifika granskningshändelser.

Skärmbild av val av granskningsflik i hälsoarbetsboken för analys.

  • Filtrera hela siddata efter granskningsregeltyp (schemalagd/Fusion).
  • Se trenderna för granskad aktivitet i analysregler under den valda tidsperioden. Du kan "tidsborsta" trenddiagrammet för att se en delmängd av det ursprungliga tidsintervallet. Skärmbild av trendande granskningsaktivitet i hälsoarbetsboken för analys.
  • Se antalet granskade händelser, uppdelade efter aktivitet och regeltyp.
    • Välj en aktivitet för att filtrera följande diagram för den aktiviteten.
    • Rensa filtret genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet granskningshändelser efter aktivitet och typ i arbetsboken för analyshälsa.
  • Se antalet granskade händelser efter regelnamn.
    • Välj ett regelnamn för att filtrera följande tabell för regeln och för att öka detaljnivån och visa en ny tabell med all aktivitet i regeln (inom den valda tidsramen). (Se efter följande skärmbild.)
    • Rensa filtret genom att välja ikonen Rensa markering (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av granskade händelser efter regelnamn och anropare i analyshälsoarbetsboken.
  • Se antalet granskade händelser av anroparen (den identitet som utförde aktiviteten).
  • Om du har valt ett regelnamn i diagrammet ovan visas en annan tabell som visar de granskade aktiviteterna i regeln. Välj det värde som visas som en länk i kolumnen ExtendedProperties för att öppna en sidopanel som visar de ändringar som gjorts i regeln. Skärmbild av granskningsaktiviteten för den valda regeln i hälsoarbetsboken för analys.

Nästa steg