A Microsoft Sentinel naplózásának és állapotfigyelésének bekapcsolása (előzetes verzió)

A Microsoft Sentinel Beállítások lapján a naplózási és állapotmonitorozási funkció bekapcsolásával monitorozható a támogatott Microsoft Sentinel-erőforrások állapota és integritása. Elemzéseket kaphat az állapotváltozásokról, például a legutóbbi hibaeseményekről vagy a sikeres állapotok változásáról, valamint a jogosulatlan műveletekről, és ezen információk segítségével értesítéseket és egyéb automatizált műveleteket hozhat létre.

Ha állapotadatokat szeretne lekérni a SentinelHealth adattáblából, vagy a SentinelAudit adattáblából szeretne naplózási adatokat lekérni, először be kell kapcsolnia a Microsoft Sentinel naplózási és állapotmonitorozási funkcióját a munkaterületen.

Ez a cikk bemutatja, hogyan kapcsolhatja be ezeket a funkciókat.

Az állapot- és naplózási funkció API-val (Bicep/ARM/REST) történő implementálásához tekintse át a Diagnosztikai beállítások műveleteket.

Az audit- és állapotesemények megőrzési idejének konfigurálásához lásd: Adatmegőrzési és archiválási szabályzatok konfigurálása az Azure Monitor-naplókban.

Fontos

A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

Adattáblák és erőforrástípusok

Ha a funkció be van kapcsolva, a SentinelHealth és a SentinelAudit adattáblák a kiválasztott erőforrásokhoz létrehozott első eseménynél jönnek létre.

Az állapotmonitorozás jelenleg a következő erőforrástípusokat támogatja:

• Elemzési szabályok (Új!)
• Adatösszekötők
• Automatizálási szabályok
• Forgatókönyvek (Azure Logic Apps-munkafolyamatok)

  Megjegyzés

  A forgatókönyv állapotának monitorozása során az Azure Logic Apps diagnosztikai eseményeit is be kell gyűjtenie a forgatókönyvekből, hogy teljes képet kapjon a forgatókönyv-tevékenységről. További információt az Automatizálási szabályok és forgatókönyvek állapotának monitorozása című témakörben talál.

A naplózáshoz jelenleg csak az elemzési szabály erőforrástípusa támogatott.

A naplózás és az állapotmonitorozás bekapcsolása a munkaterületen

1. A Microsoft Sentinel bal oldali Konfiguráció menüjében válassza a Beállítások lehetőséget.

2. A szalagcímen válassza a Beállítások lehetőséget .

3. Görgessen le az alábbi Naplózás és állapotfigyelés szakaszhoz, és jelölje ki a kibontásához.

4. Az Engedélyezés lehetőséget választva engedélyezheti a naplózást és az állapotfigyelést az összes erőforrástípusban, és elküldheti a naplózási és figyelési adatokat a Microsoft Sentinel-munkaterületre (és sehol máshol).

   Vagy válassza a Diagnosztikai beállítások konfigurálása hivatkozást, hogy csak az adatgyűjtő és/vagy az automatizálási erőforrások állapotmonitorozását engedélyezze, vagy speciális beállításokat konfiguráljon, például további helyeket az adatok elküldéséhez.

   

   Ha az Engedélyezés lehetőséget választotta, a gomb kiszürkedik, és az Engedélyezés... és az Engedélyezve gombra változik. Ezen a ponton a naplózás és az állapotmonitorozás engedélyezve van, és elkészült! A megfelelő diagnosztikai beállítások a színfalak mögött lettek hozzáadva, és a Diagnosztikai beállítások konfigurálása hivatkozásra kattintva megtekintheti és szerkesztheti őket.

5. Ha a Diagnosztikai beállítások konfigurálása lehetőséget választotta, akkor a Diagnosztikai beállítások képernyőn válassza a + Diagnosztikai beállítás hozzáadása lehetőséget.

   (Ha egy meglévő beállítást szerkeszt, válassza ki a diagnosztikai beállítások listájából.)

   • A Diagnosztikai beállítás neve mezőben adjon meg egy értelmes nevet a beállításnak.

   • A Naplók oszlopban válassza ki a monitorozni kívánt erőforrástípusok megfelelő kategóriáit , például adatgyűjtés – összekötők. Ha az elemzési szabályokat szeretné monitorozni, válassza az allLogs lehetőséget.

   • A Cél részletei területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget, majd válassza ki az Előfizetés és a Log Analytics-munkaterületet a legördülő menükből.

     

     Ha szükséges, a Log Analytics-munkaterületen kívül más célhelyeket is kijelölhet, amelyekbe az adatokat el szeretné küldeni.

6. A felső szalagcímen válassza a Mentés lehetőséget az új beállítás mentéséhez.

A SentinelHealth és a SentinelAudit adattáblák a kiválasztott erőforrásokhoz létrehozott első eseménynél jönnek létre.

Ellenőrizze, hogy a táblák fogadják-e az adatokat

A Microsoft Sentinel-naplók lapon futtasson egy lekérdezést a SentinelHealth táblában. Például:

_SentinelHealth()
 | take 20

Következő lépések

• További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
• Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
• Monitorozza az adatösszekötők állapotát.
• Az elemzési szabályok állapotának és integritásának monitorozása.
• További információ a SentinelHealth és a SentinelAudit táblasémákról.