Zapnutí auditování a monitorování stavu pro Microsoft Sentinel (Preview)

Monitorujte stav a auditujte integritu podporovaných prostředků služby Microsoft Sentinel zapnutím funkce auditování a monitorování stavu na stránce Nastavení služby Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny stavu úspěšného stavu, a o neoprávněných akcích a využijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.

Pokud chcete získat data o stavu z tabulky dat SentinelHealth nebo získat informace o auditování z tabulky dat SentinelAudit , musíte nejprve zapnout funkci auditování a monitorování stavu služby Microsoft Sentinel pro váš pracovní prostor.

V tomto článku se dozvíte, jak tyto funkce zapnout.

Pokud chcete implementovat funkci stavu a auditu pomocí rozhraní API (Bicep, ARM nebo REST), projděte si operace nastavení diagnostiky.

Informace o konfiguraci doby uchovávání pro události auditu a stavu najdete v tématu Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor.

Důležité

Tabulky dat SentinelHealth a SentinelAudit jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo které ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .

Tabulky dat a typy prostředků

Když je funkce zapnutá, tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.

Monitorování stavu se v současné době podporuje u následujících typů prostředků:

• Analytická pravidla (nové!)
• Datové konektory
• Pravidla automatizace
• Playbooky (pracovní postupy Azure Logic Apps)

  Poznámka

  Při monitorování stavu playbooku budete také muset shromažďovat diagnostické události Azure Logic Apps z playbooků, abyste získali úplný přehled o aktivitě playbooku. Další informace najdete v tématu Monitorování stavu pravidel automatizace a playbooků .

Auditování se v současné době podporuje pouze typ prostředku analytického pravidla.

Zapnutí auditování a monitorování stavu pro váš pracovní prostor

1. Ve službě Microsoft Sentinel v nabídce Konfigurace na levé straně vyberte Nastavení.

2. V banneru vyberte Nastavení .

3. Posuňte se dolů do části Auditování a monitorování stavu , která se zobrazí níže, a výběrem ji rozbalte.

4. Pokud chcete povolit auditování a monitorování stavu pro všechny typy prostředků a odesílat data o auditování a monitorování do pracovního prostoru služby Microsoft Sentinel (a nikam jinam), vyberte Povolit .

   Nebo vyberte odkaz Konfigurovat nastavení diagnostiky a povolte monitorování stavu pouze pro kolektor dat nebo prostředky automatizace nebo nakonfigurujte upřesňující možnosti, například další místa pro odesílání dat.

   

   Pokud jste vybrali Povolit, tlačítko se zobrazí šedě a změní se na povolení... a pak na Povoleno. V tomto okamžiku je povolené auditování a monitorování stavu a máte hotovo! Příslušná nastavení diagnostiky byla přidána na pozadí a můžete je zobrazit a upravit výběrem odkazu Konfigurovat nastavení diagnostiky .

5. Pokud jste vybrali Konfigurovat nastavení diagnostiky, pak na obrazovce Nastavení diagnostiky vyberte + Přidat nastavení diagnostiky.

   (Pokud upravujete existující nastavení, vyberte ho ze seznamu nastavení diagnostiky.)

   • Do pole Název nastavení diagnostiky zadejte smysluplný název nastavení.

   • Ve sloupci Protokoly vyberte odpovídající kategorie pro typy prostředků, které chcete monitorovat, například Shromažďování dat – Konektory. Pokud chcete monitorovat analytická pravidla, vyberte všeLogy .

   • V části Podrobnosti o cíli vyberte Odeslat do pracovního prostoru služby Log Analytics a v rozevíracích nabídkách vyberte své předplatné a pracovní prostor služby Log Analytics .

     

     Pokud potřebujete, můžete kromě pracovního prostoru služby Log Analytics vybrat i další cíle, do kterých se mají data odesílat.

6. Nové nastavení uložíte tak, že na horním banneru vyberete Uložit .

Tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.

Ověřte, že tabulky přijímají data.

Na stránce Protokoly služby Microsoft Sentinel spusťte dotaz na tabulku SentinelHealth . Například:

_SentinelHealth()
 | take 20

Další kroky

• Seznamte se s auditováním a monitorováním stavu ve službě Microsoft Sentinel.
• Monitorujte stav pravidel automatizace a playbooků.
• Monitorujte stav datových konektorů.
• Monitorujte stav a integritu analytických pravidel.
• Přečtěte si další informace o schématech tabulek SentinelHealth a SentinelAudit .