Zapnutí auditování a monitorování stavu pro Microsoft Sentinel (Preview)
Monitorujte stav a auditujte integritu podporovaných prostředků služby Microsoft Sentinel zapnutím funkce auditování a monitorování stavu na stránce Nastavení služby Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny stavu úspěšného stavu, a o neoprávněných akcích a využijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.
Pokud chcete získat data o stavu z tabulky dat SentinelHealth nebo získat informace o auditování z tabulky dat SentinelAudit , musíte nejprve zapnout funkci auditování a monitorování stavu služby Microsoft Sentinel pro váš pracovní prostor.
V tomto článku se dozvíte, jak tyto funkce zapnout.
Pokud chcete implementovat funkci stavu a auditu pomocí rozhraní API (Bicep, ARM nebo REST), projděte si operace nastavení diagnostiky.
Informace o konfiguraci doby uchovávání pro události auditu a stavu najdete v tématu Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor.
Důležité
Tabulky dat SentinelHealth a SentinelAudit jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo které ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .
Tabulky dat a typy prostředků
Když je funkce zapnutá, tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.
Monitorování stavu se v současné době podporuje u následujících typů prostředků:
- Analytická pravidla (nové!)
- Datové konektory
- Pravidla automatizace
- Playbooky (pracovní postupy Azure Logic Apps)
Poznámka
Při monitorování stavu playbooku budete také muset shromažďovat diagnostické události Azure Logic Apps z playbooků, abyste získali úplný přehled o aktivitě playbooku. Další informace najdete v tématu Monitorování stavu pravidel automatizace a playbooků .
Auditování se v současné době podporuje pouze typ prostředku analytického pravidla.
Zapnutí auditování a monitorování stavu pro váš pracovní prostor
Ve službě Microsoft Sentinel v nabídce Konfigurace na levé straně vyberte Nastavení.
V banneru vyberte Nastavení .
Posuňte se dolů do části Auditování a monitorování stavu , která se zobrazí níže, a výběrem ji rozbalte.
Pokud chcete povolit auditování a monitorování stavu pro všechny typy prostředků a odesílat data o auditování a monitorování do pracovního prostoru služby Microsoft Sentinel (a nikam jinam), vyberte Povolit .
Nebo vyberte odkaz Konfigurovat nastavení diagnostiky a povolte monitorování stavu pouze pro kolektor dat nebo prostředky automatizace nebo nakonfigurujte upřesňující možnosti, například další místa pro odesílání dat.
Pokud jste vybrali Povolit, tlačítko se zobrazí šedě a změní se na povolení... a pak na Povoleno. V tomto okamžiku je povolené auditování a monitorování stavu a máte hotovo! Příslušná nastavení diagnostiky byla přidána na pozadí a můžete je zobrazit a upravit výběrem odkazu Konfigurovat nastavení diagnostiky .
Pokud jste vybrali Konfigurovat nastavení diagnostiky, pak na obrazovce Nastavení diagnostiky vyberte + Přidat nastavení diagnostiky.
(Pokud upravujete existující nastavení, vyberte ho ze seznamu nastavení diagnostiky.)
Do pole Název nastavení diagnostiky zadejte smysluplný název nastavení.
Ve sloupci Protokoly vyberte odpovídající kategorie pro typy prostředků, které chcete monitorovat, například Shromažďování dat – Konektory. Pokud chcete monitorovat analytická pravidla, vyberte všeLogy .
V části Podrobnosti o cíli vyberte Odeslat do pracovního prostoru služby Log Analytics a v rozevíracích nabídkách vyberte své předplatné a pracovní prostor služby Log Analytics .
Pokud potřebujete, můžete kromě pracovního prostoru služby Log Analytics vybrat i další cíle, do kterých se mají data odesílat.
Nové nastavení uložíte tak, že na horním banneru vyberete Uložit .
Tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.
Ověřte, že tabulky přijímají data.
Na stránce Protokoly služby Microsoft Sentinel spusťte dotaz na tabulku SentinelHealth . Například:
_SentinelHealth()
| take 20
Další kroky
- Seznamte se s auditováním a monitorováním stavu ve službě Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Přečtěte si další informace o schématech tabulek SentinelHealth a SentinelAudit .