Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma (önizleme)
Microsoft Sentinel'in Ayarlar sayfasında denetim ve sistem durumu izleme özelliğini açarak desteklenen Microsoft Sentinel kaynaklarının sistem durumunu izleyin ve bütünlüğünü denetleyin. En son hata olayları veya başarı durumundan hata durumlarına yapılan değişiklikler ve yetkisiz eylemler gibi sistem durumu kaymalarıyla ilgili içgörüler alın ve bu bilgileri kullanarak bildirimler ve diğer otomatik eylemler oluşturun.
SentinelHealth veri tablosundan sistem durumu verilerini almak veya SentinelAudit veri tablosundan denetim bilgilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel denetimi ve sistem durumu izleme özelliğini açmanız gerekir. Bu makalede, bu özellikleri nasıl açabileceğiniz anlatılır.
API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) kullanarak sistem durumu ve denetim özelliğini uygulamak için Tanılama Ayarları işlemlerini gözden geçirin. Denetim ve sistem durumu olaylarınızın bekletme süresini yapılandırmak için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.
Önemli
SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Önkoşullar
- Başlamadan önce Microsoft Sentinel'de sistem durumu izleme ve denetim hakkında daha fazla bilgi edinin. Daha fazla bilgi için bkz . Microsoft Sentinel'de denetim ve sistem durumu izleme.
Çalışma alanınız için denetim ve sistem durumu izlemeyi açma
Başlamak için Microsoft Sentinel ayarlarından denetimi ve sistem durumunu izlemeyi etkinleştirin.
Azure portalında Microsoft Sentinel için Yapılandırma'nın altında Ayarlar Ayarlar'ı> seçin.
Defender portalındaki Microsoft Sentinel için Sistem'in altında Ayarlar>Microsoft Sentinel'i seçin.Denetim ve sistem durumu izleme'yi seçin.
Tüm kaynak türlerinde denetimi ve sistem durumunu izlemeyi etkinleştirmek ve denetim ve izleme verilerini Microsoft Sentinel çalışma alanınıza (ve başka hiçbir yere) göndermek için Etkinleştir'i seçin.
Ya da tanılama ayarlarını yapılandır bağlantısını seçerek yalnızca veri toplayıcısı ve/veya otomasyon kaynakları için sistem durumu izlemeyi etkinleştirebilir veya verilerin gönderileceği diğer yerler gibi gelişmiş seçenekleri yapılandırabilirsiniz.
Etkinleştir'i seçtiyseniz düğme gri görünür ve Etkinleştiriliyor... ve ardından Etkin olarak değişir. Bu noktada denetim ve sistem durumu izleme etkinleştirilir ve işiniz biter! Arka planda uygun tanılama ayarları eklendi ve tanılama ayarlarını yapılandır bağlantısını seçerek bunları görüntüleyebilir ve düzenleyebilirsiniz.
Tanılama ayarlarını yapılandır'ı seçtiyseniz Tanılama ayarları ekranında + Tanılama ayarı ekle'yi seçin.
(Mevcut bir ayarı düzenliyorsanız, tanılama ayarları listesinden bu ayarı seçin.)
Tanılama ayarı adı alanına, ayarınız için anlamlı bir ad girin.
Günlükler sütununda, izlemek istediğiniz kaynak türleri için uygun Kategorileri seçin, örneğin Veri Toplama - Bağlayıcılar. Analiz kurallarını izlemek istiyorsanız allLogs'ı seçin.
Hedef ayrıntıları'nın altında Log Analytics çalışma alanına gönder'i seçin ve açılan menülerden Abonelik ve Log Analytics çalışma alanınızı seçin.
gerekirse, Log Analytics çalışma alanına ek olarak verilerinizin gönderildiği diğer hedefleri de seçebilirsiniz.
Yeni ayarınızı kaydetmek için üst başlıkta Kaydet'i seçin.
SentinelHealth ve SentinelAudit veri tabloları, seçilen kaynaklar için oluşturulan ilk olayda oluşturulur.
Tabloların veri aldığını doğrulayın
Sistem durumu ve denetim verilerini almak için Azure portalında veya Defender portalında Kusto Sorgu Dili (KQL) sorguları çalıştırın.
Azure portalında Microsoft Sentinel için Genel'in altında Günlükler'i seçin.
Defender portalındaki Microsoft Sentinel için Araştırma ve yanıt'ın altında Tehdit Avcılığı Gelişmiş avcılığı'nı> seçin.SentinelHealth tablosunda bir sorgu çalıştırın. Örneğin:
_SentinelHealth() | take 20
SentinelAudit tablosunda bir sorgu çalıştırın. Örneğin:
_SentinelAudit() | take 20
Desteklenen veri tabloları ve kaynak türleri
Özellik açıldığında, seçilen kaynaklar için oluşturulan ilk olayda SentinelHealth ve SentinelAudit veri tabloları oluşturulur.
Microsoft Sentinel sistem durumu izleme şu anda aşağıdaki kaynak türlerini destekler:
- Analiz kuralları
- Veri bağlayıcıları
- Otomasyon kuralları
- Playbook'lar (Azure Logic Apps iş akışları)
Not
Playbook sistem durumunu izlerken playbook etkinliğinizin tam resmini almak için playbook'larınızdan Azure Logic Apps tanılama olaylarını topladığınızdan emin olun. Daha fazla bilgi için bkz . Otomasyon kurallarınızın ve playbook'larınızın durumunu izleme.
Şu anda denetim için yalnızca analiz kuralı kaynak türü desteklenmektedir.
Sonraki adımlar
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Veri bağlayıcılarınızın durumunu izleyin.
- Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.