Otomasyon kurallarınızın ve playbook'larınızın durumunu izleme

Microsoft Sentinel hizmetinizde güvenlik düzenleme, otomasyon ve yanıt işlemlerinizin düzgün çalışmasını ve performansını sağlamak için, bunların yürütme günlüklerini izleyerek otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.

Daha sonra harekete geçebilecek ilgili paydaşlar için sağlık olaylarının bildirimlerini ayarlayın. Örneğin, e-posta veya Microsoft Teams iletileri tanımlayıp gönderin, bilet oluşturma sisteminizde yeni biletler oluşturun vb.

Bu makalede, Microsoft Sentinel'in sistem durumu izleme özelliklerini kullanarak otomasyon kurallarınızı ve playbook'larınızın durumunu Microsoft Sentinel'in içinden takip etme açıklanır. Daha fazla bilgi için bkz . Microsoft Sentinel'de denetim ve sistem durumu izleme.

SentinelHealth veri tablosunu kullanma (Genel önizleme)

SentinelHealth veri tablosundan otomasyon sistem durumu verilerini almak için önce çalışma alanınızın Microsoft Sentinel sistem durumu özelliğini açın. Daha fazla bilgi için bkz . Microsoft Sentinel için sistem durumu izlemeyi açma.

Sistem durumu özelliği açıldıktan sonra, otomasyon kurallarınız ve playbook'larınız için oluşturulan ilk başarı veya başarısızlık olayında SentinelHealth veri tablosu oluşturulur.

SentinelHealth tablo olaylarını anlama

Aşağıdaki otomasyon sistem durumu olayları türleri SentinelHealth tablosuna kaydedilir:

  • Otomasyon kuralı çalıştırma. Otomasyon kuralının koşulları karşılandığında günlüğe kaydedilir ve bu da çalıştırılmasına neden olur. Temel SentinelHealth tablosundaki alanların yanı sıra bu olaylar, kural tarafından çağrılan playbook'ların listesi de dahil olmak üzere otomasyon kurallarının çalıştırılmasına özgü genişletilmiş özellikleri içerir. Aşağıdaki örnek sorgu bu olayları görüntüler:

    SentinelHealth
    | where OperationName == "Automation rule run"
    
  • Playbook tetiklendi. Portaldan veya API aracılığıyla bir olayda el ile bir playbook tetiklendiğinde günlüğe kaydedilir. Temel SentinelHealth tablosundaki alanların yanı sıra, bu olaylar playbook'ların el ile tetiklenmesine özgü genişletilmiş özellikler içerir. Aşağıdaki örnek sorgu bu olayları görüntüler:

    SentinelHealth
    | where OperationName == "Playbook was triggered"
    

Daha fazla bilgi için bkz . SentinelHealth tablo sütunları şeması.

Durumlar, hatalar ve önerilen adımlar

Otomasyon kuralı çalıştırma durumu için aşağıdaki durumları görebilirsiniz:

  • Başarılı: Kural başarıyla yürütüldü ve tüm eylemler tetikleniyor.

  • Kısmi başarı: Kural yürütüldü ve en az bir eylem tetikledi, ancak bazı eylemler başarısız oldu.

  • Hata: Otomasyon kuralı aşağıdaki nedenlerden biri nedeniyle herhangi bir eylem çalıştırmadı:

    • Koşullar değerlendirmesi başarısız oldu.
    • Koşullar karşılandığında, ancak ilk eylem başarısız oldu.

Playbook tetiklendi durumu için aşağıdaki durumları görebilirsiniz:

  • Başarılı: Playbook başarıyla tetiklendi.

  • Hata: playbook tetiklenemedi.

    Not

    Başarı , yalnızca otomasyon kuralının bir playbook'u başarıyla tetiklediği anlamına gelir. Playbook'un ne zaman başladığını veya bittiğini, playbook'taki eylemlerin sonuçlarını veya playbook'un nihai sonucunu göstermez.

    Bu bilgileri bulmak için Logic Apps tanılama günlüklerini sorgula. Daha fazla bilgi için bkz . Otomasyon resminin tamamını alma.

Hata açıklamaları ve önerilen eylemler

Hata açıklaması Önerilen eylemler
Görev eklenemedi: <GörevAdı>.
Olay/uyarı bulunamadı.
Olayın/uyarının mevcut olduğundan emin olun ve yeniden deneyin.
Görev eklenemedi: <GörevAdı>.
Olay zaten izin verilen en fazla görev sayısını içeriyor.
Bu görev gerekiyorsa kaldırılabilir veya birleştirilebilen görevler olup olmadığına bakın ve yeniden deneyin.
Özellik değiştirilemedi: <PropertyName>.
Olay/uyarı bulunamadı.
Olayın/uyarının mevcut olduğundan emin olun ve yeniden deneyin.
Özellik değiştirilemedi: <PropertyName>.
Azaltma sınırlarını aşan çok fazla istek var.
Playbook tetikleyemedi: <PlaybookName>.
Olay/uyarı bulunamadı.
İsteğe bağlı bir playbook tetiklemeye çalışılırken hata oluştuysa, olayın/uyarının mevcut olduğundan emin olun ve yeniden deneyin.
Playbook tetikleyemedi: <PlaybookName>.
Playbook bulunamadı veya Microsoft Sentinel'in üzerinde izinleri eksikti.
Otomasyon kuralını düzenleyin, playbook'u yeni konumunda bulup seçin ve kaydedin. Microsoft Sentinel'in bu playbook'u çalıştırma izni olduğundan emin olun.
Playbook tetikleyemedi: <PlaybookName>.
Desteklenmeyen bir tetikleyici türü içerir.
Playbook'unuzun doğru Logic Apps tetikleyicisiyle başladığından emin olun: Microsoft Sentinel Olayı veya Microsoft Sentinel Uyarısı.
Playbook tetikleyemedi: <PlaybookName>.
Abonelik devre dışı bırakıldı ve salt okunur olarak işaretlendi. Abonelik yeniden etkinleştirilene kadar bu abonelikteki Playbook'lar çalıştırılamaz.
Playbook'un bulunduğu Azure aboneliğini yeniden etkinleştirin.
Playbook tetikleyemedi: <PlaybookName>.
Playbook devre dışı bırakıldı.
Playbook'unuzu, Microsoft Sentinel'de Otomasyon altındaki Etkin Playbook'lar sekmesinde veya Logic Apps kaynak sayfasında etkinleştirin.
Playbook tetikleyemedi: <PlaybookName>.
Geçersiz şablon tanımı.
Playbook tanımında bir hata var. Sorunları düzeltmek için Logic Apps tasarımcısına gidin ve playbook'u kaydedin.
Playbook tetikleyemedi: <PlaybookName>.
Erişim denetimi yapılandırması Microsoft Sentinel'i kısıtlar.
Logic Apps yapılandırmaları, playbook'u tetikleme erişimini kısıtlamaya olanak tanır. Bu kısıtlama bu playbook için geçerli. Microsoft Sentinel'in engellenmemesi için bu kısıtlamayı kaldırın. Daha fazla bilgi edinin
Playbook tetikleyemedi: <PlaybookName>.
Microsoft Sentinel'in çalıştırma izinleri eksik.
Microsoft Sentinel, playbook'ları çalıştırmak için izinler gerektirir.
Playbook tetikleyemedi: <PlaybookName>.
Playbook yeni izin modeline geçirilmez. Bu playbook'u çalıştırmak ve kuralı yeniden kaydetmek için Microsoft Sentinel izinleri verin.
Bu playbook'u çalıştırmak ve kuralı yeniden kaydetmek için Microsoft Sentinel izinleri verin.
Playbook tetikleyemedi: <PlaybookName>.
İş akışı azaltma sınırlarını aşan çok fazla istek var.
Bekleyen iş akışı çalıştırmalarının sayısı izin verilen en yüksek sınırı aştı. Tetikleyici eşzamanlılık yapılandırmasında değerini 'maximumWaitingRuns' artırmayı deneyin.
Playbook tetikleyemedi: <PlaybookName>.
Azaltma sınırlarını aşan çok fazla istek var.
Abonelik ve kiracı sınırları hakkında daha fazla bilgi edinin.
Playbook tetikleyemedi: <PlaybookName>.
Erişim yasaktı. Yönetilen kimlikte yapılandırma eksik veya Logic Apps ağ kısıtlaması ayarlanmış.
Playbook yönetilen kimlik kullanıyorsa, yönetilen kimliğin izinlerle atandığından emin olun. Playbook'un, Microsoft Sentinel hizmetini engellediğinden tetiklenmesini engelleyen ağ kısıtlama kuralları olabilir.
Playbook tetikleyemedi: <PlaybookName>.
Abonelik veya kaynak grubu kilitlendi.
Kilitli kapsamda Microsoft Sentinel tetikleyici playbook'larına izin vermek için kilidi kaldırın. Kilitli kaynaklar hakkında daha fazla bilgi edinin.
Playbook tetikleyemedi: <PlaybookName>.
Çağıranın playbook üzerinde gerekli playbook tetikleme izinleri eksik veya Microsoft Sentinel'in bu izinler eksik.
Playbook'u isteğe bağlı olarak tetiklemeye çalışan kullanıcının playbook'ta Logic Apps Katkıda Bulunanı rolü eksik veya playbook'u tetikliyor. Daha fazla bilgi edinin
Playbook tetikleyemedi: <PlaybookName>.
Bağlantıda geçersiz kimlik bilgileri.
Bağlantınızın kullandığı kimlik bilgilerini Azure portalındaki API bağlantıları hizmetinde denetleyin.
Playbook tetikleyemedi: <PlaybookName>.
Playbook ARM kimliği geçerli değil.

Otomasyon resminin tamamını alma

Microsoft Sentinel'in sistem durumu izleme tablosu, playbook'ların ne zaman tetiklendiğini izlemenize olanak tanır, ancak çalıştırıldığında playbook'larınızın içinde neler olduğunu ve sonuçlarını izlemek için aşağıdaki olayları AzureDiagnostics tablosuna almak için Azure Logic Apps'te tanılamayı da açmanız gerekir:

  • {Eylem adı} başlatıldı
  • {Eylem adı} sona erdi
  • İş akışı (playbook) başlatıldı
  • İş akışı (playbook) sona erdi

Bu eklenen olaylar, playbook'larınızda gerçekleştirilmekte olan eylemlerle ilgili ek içgörüler sağlar.

Azure Logic Apps tanılamayı açma

İzlemeyle ilgilendiğiniz her playbook için mantıksal uygulamanız için Log Analytics'i etkinleştirin. Günlük hedefiniz olarak Log Analytics çalışma alanına gönder'i seçtiğinizden emin olun ve Microsoft Sentinel çalışma alanınızı seçin.

Microsoft Sentinel ve Azure Logic Apps günlüklerini ilişkilendirme

Artık çalışma alanınızda otomasyon kurallarınız, playbook'larınız ve bireysel Logic Apps iş akışlarınız için günlükleriniz olduğuna göre, resmin tamamını elde etmek için bunları ilişkilendirebilirsiniz. Aşağıdaki örnek sorguyu göz önünde bulundurun:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Sistem durumu izleme çalışma kitabını kullanma

Otomasyon sistem durumu çalışma kitabı, sistem durumu verilerinizi görselleştirmenize ve az önce bahsettiğimiz iki günlük türü arasındaki bağıntıyı görselleştirmenize yardımcı olur. Çalışma kitabı aşağıdaki ekranları içerir:

  • Otomasyon kuralı sistem durumu ve ayrıntıları
  • Playbook tetikleyici sistem durumu ve ayrıntıları
  • Playbook sistem durumunu ve ayrıntılarını çalıştırır (Playbook düzeyinde Azure Tanılama'nın etkinleştirilmesini gerektirir)
  • Olay başına otomasyon ayrıntıları

Örneğin:

Otomasyon sistem durumu çalışma kitabının açılış panelini gösteren ekran görüntüsü.

Playbook etkinliğini görmek için Otomasyon Kuralları tarafından çalıştırılan Playbook'lar sekmesini seçin.

Otomasyon kuralları tarafından çağrılan playbook'ların listesini gösteren ekran görüntüsü.

Aşağıdaki detaya gitme grafiğinde çalıştırmalarının listesini görmek için bir playbook seçin.

Seçilen playbook'un çalıştırmalarının listesini gösteren ekran görüntüsü.

Playbook'taki eylemlerin sonuçlarını görmek için belirli bir çalıştırmayı seçin.

Bu playbook'un belirli bir çalıştırmasında yapılan eylemleri gösteren ekran görüntüsü.

Sonraki adımlar