Aktivieren der Überwachung und Systemüberwachung für Microsoft Sentinel (Vorschau)

Überwachen Sie die Integrität unterstützter Microsoft Sentinel-Ressourcen, indem Sie das Feature zur Überwachung und Systemüberwachung auf der Seite Einstellungen von Microsoft Sentinel aktivieren. Verschaffen Sie sich Einblick in Integritätsabweichungen (z. B. aktuelle Fehlerereignisse oder Änderungen vom Zustand „Erfolg“ in „Fehler“) und nicht autorisierte Aktionen, und erstellen Sie mithilfe dieser Informationen Benachrichtigungen und andere automatisierte Aktionen.

Zum Abrufen von Integritätsdaten aus der SentinelHealth-Datentabelle oder zum Abrufen von Überwachungsinformationen aus der SentinelAudit-Datentabelle müssen Sie zunächst die Microsoft Sentinel-Features für die Überwachung und Systemüberwachung für Ihren Arbeitsbereich aktivieren.

In diesem Artikel erfahren Sie, wie Sie diese Features aktivieren.

Um die Integritäts- und Überwachungsfunktion mit Hilfe der API (Bicep/ARM/REST) zu implementieren, lesen Sie die Vorgänge der Diagnoseeinstellungen.

Informationen zum Konfigurieren der Aufbewahrungszeit für Ihre Überwachungs- und Integritätsereignisse finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivierungsrichtlinien in Azure Monitor-Protokollen.

Wichtig

Die Datentabellen SentinelHealth und SentinelAudit befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Datentabellen- und Ressourcentypen

Wenn das Feature aktiviert ist, werden die Datentabellen SentinelHealth und SentinelAudit beim ersten Ereignis erstellt, das für die ausgewählten Ressourcen generiert wird.

Die folgenden Ressourcentypen werden derzeit für die Systemüberwachung unterstützt:

• Analyseregeln (neu!)
• Datenconnectors
• Automatisierungsregeln
• Playbooks (Azure Logic Apps-Workflows)

  Hinweis

  Beim Überwachen der Playbookintegrität müssen Sie in Ihren Playbooks auch Azure Logic Apps-Diagnoseereignisse sammeln, um ein vollständiges Bild Ihrer Playbookaktivität zu erhalten. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Automatisierungsregeln und Playbooks.

Für die Überwachung wird derzeit nur der Ressourcentyp „Analyseregel“ unterstützt.

Aktivieren der Überwachung und Systemüberwachung für Ihren Arbeitsbereich

1. Wählen Sie in Microsoft Sentinel im Menü Konfiguration auf der linken Seite Einstellungen aus.

2. Wählen Sie im Banner Einstellungen aus.

3. Scrollen Sie nach unten zum Abschnitt Überwachung und Systemüberwachung, der unten angezeigt wird, und wählen Sie ihn aus, um ihn aufzuklappen.

4. Wählen Sie Aktivieren aus, um die Überwachung und Systemüberwachung für alle Ressourcentypen zu aktivieren und die Überprüfungs- und Überwachungsdaten ausschließlich an Ihren Microsoft Sentinel-Arbeitsbereich zu senden.

   Oder wählen Sie den Link Diagnoseeinstellungen konfigurieren aus, um die Systemüberwachung nur für die Datensammler- und/oder Automatisierungsressourcen zu aktivieren oder um erweiterte Optionen zu konfigurieren, z. B. zusätzliche Orte, an die Daten gesendet werden können.

   

   Wenn Sie Aktivieren ausgewählt haben, wird die Schaltfläche abgeblendet und in Aktivieren... und dann in Aktiviert geändert. Die Überwachung und Systemüberwachung sind nun aktiviert, und Sie sind fertig! Die entsprechenden Diagnoseeinstellungen wurden im Hintergrund hinzugefügt, und Sie können sie anzeigen und bearbeiten, indem Sie auf den Link Diagnoseeinstellungen konfigurieren klicken.

5. Wenn Sie Diagnoseeinstellungen konfigurieren ausgewählt haben, wählen Sie auf dem Bildschirm Diagnoseeinstellungen die Option + Diagnoseeinstellung hinzufügen aus.

   (Wenn Sie eine vorhandene Einstellung bearbeiten, wählen Sie sie aus der Liste der Diagnoseeinstellungen aus.)

   • Geben Sie im Feld Name der Diagnoseeinstellung einen aussagekräftigen Namen für Ihre Einstellung ein.

   • Wählen Sie in der Spalte Protokolle die entsprechenden Kategorien für die zu überwachenden Ressourcentypen aus, z. B. Datensammlung – Connectors. Wählen Sie allLogs aus, wenn Sie Analyseregeln überwachen möchten.

   • Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden und dann in den Dropdownmenüs Ihr Abonnement und Ihren Log Analytics-Arbeitsbereich aus.

     

     Bei Bedarf können Sie zusätzlich zum Log Analytics-Arbeitsbereich andere Ziele auswählen, an die Ihre Daten gesendet werden sollen.

6. Wählen Sie im oberen Banner Speichern aus, um Ihre neue Einstellung zu speichern.

Die Datentabellen SentinelHealth und SentinelAudit werden beim ersten Ereignis erstellt, das für die ausgewählten Ressourcen generiert wird.

Überprüfen, ob die Tabellen Daten empfangen

Führen Sie auf der Microsoft Sentinel-Seite Protokolle eine Abfrage für die SentinelHealth-Tabelle aus. Beispiel:

_SentinelHealth()
 | take 20

Nächste Schritte

• Erfahren Sie mehr über die Überwachung und Systemüberwachung in Microsoft Sentinel.
• Überwachen der Integrität der Automatisierungsregeln und Playbooks
• Überwachen der Integrität der Datenconnectors.
• Überwachen der Integrität der Analyseregeln.
• Weitere Informationen finden Sie in den SentinelHealth- und SentinelAudit-Tabellenschemata.