A Microsoft Sentinel naplózásának és állapotfigyelésének bekapcsolása (előzetes verzió)
A Microsoft Sentinel Beállítások lapján a naplózási és állapotmonitorozási funkció bekapcsolásával monitorozható a támogatott Microsoft Sentinel-erőforrások állapota és integritása. Elemzéseket kaphat az állapotváltozásokról, például a legutóbbi hibaeseményekről vagy a sikeres állapotok változásáról, valamint a jogosulatlan műveletekről, és ezen információk segítségével értesítéseket és egyéb automatizált műveleteket hozhat létre.
Ha állapotadatokat szeretne lekérni a SentinelHealth adattáblából, vagy a SentinelAudit adattáblából szeretne naplózási adatokat lekérni, először be kell kapcsolnia a Microsoft Sentinel naplózási és állapotmonitorozási funkcióját a munkaterületen.
Ez a cikk bemutatja, hogyan kapcsolhatja be ezeket a funkciókat.
Az állapot- és naplózási funkció API-val (Bicep/ARM/REST) történő implementálásához tekintse át a Diagnosztikai beállítások műveleteket.
Az audit- és állapotesemények megőrzési idejének konfigurálásához lásd: Adatmegőrzési és archiválási szabályzatok konfigurálása az Azure Monitor-naplókban.
Fontos
A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
Adattáblák és erőforrástípusok
Ha a funkció be van kapcsolva, a SentinelHealth és a SentinelAudit adattáblák a kiválasztott erőforrásokhoz létrehozott első eseménynél jönnek létre.
Az állapotmonitorozás jelenleg a következő erőforrástípusokat támogatja:
- Elemzési szabályok (Új!)
- Adatösszekötők
- Automatizálási szabályok
- Forgatókönyvek (Azure Logic Apps-munkafolyamatok)
Megjegyzés
A forgatókönyv állapotának monitorozása során az Azure Logic Apps diagnosztikai eseményeit is be kell gyűjtenie a forgatókönyvekből, hogy teljes képet kapjon a forgatókönyv-tevékenységről. További információt az Automatizálási szabályok és forgatókönyvek állapotának monitorozása című témakörben talál.
A naplózáshoz jelenleg csak az elemzési szabály erőforrástípusa támogatott.
A naplózás és az állapotmonitorozás bekapcsolása a munkaterületen
A Microsoft Sentinel bal oldali Konfiguráció menüjében válassza a Beállítások lehetőséget.
A szalagcímen válassza a Beállítások lehetőséget .
Görgessen le az alábbi Naplózás és állapotfigyelés szakaszhoz, és jelölje ki a kibontásához.
Az Engedélyezés lehetőséget választva engedélyezheti a naplózást és az állapotfigyelést az összes erőforrástípusban, és elküldheti a naplózási és figyelési adatokat a Microsoft Sentinel-munkaterületre (és sehol máshol).
Vagy válassza a Diagnosztikai beállítások konfigurálása hivatkozást, hogy csak az adatgyűjtő és/vagy az automatizálási erőforrások állapotmonitorozását engedélyezze, vagy speciális beállításokat konfiguráljon, például további helyeket az adatok elküldéséhez.
Ha az Engedélyezés lehetőséget választotta, a gomb kiszürkedik, és az Engedélyezés... és az Engedélyezve gombra változik. Ezen a ponton a naplózás és az állapotmonitorozás engedélyezve van, és elkészült! A megfelelő diagnosztikai beállítások a színfalak mögött lettek hozzáadva, és a Diagnosztikai beállítások konfigurálása hivatkozásra kattintva megtekintheti és szerkesztheti őket.
Ha a Diagnosztikai beállítások konfigurálása lehetőséget választotta, akkor a Diagnosztikai beállítások képernyőn válassza a + Diagnosztikai beállítás hozzáadása lehetőséget.
(Ha egy meglévő beállítást szerkeszt, válassza ki a diagnosztikai beállítások listájából.)
A Diagnosztikai beállítás neve mezőben adjon meg egy értelmes nevet a beállításnak.
A Naplók oszlopban válassza ki a monitorozni kívánt erőforrástípusok megfelelő kategóriáit , például adatgyűjtés – összekötők. Ha az elemzési szabályokat szeretné monitorozni, válassza az allLogs lehetőséget.
A Cél részletei területen válassza a Küldés a Log Analytics-munkaterületre lehetőséget, majd válassza ki az Előfizetés és a Log Analytics-munkaterületet a legördülő menükből.
Ha szükséges, a Log Analytics-munkaterületen kívül más célhelyeket is kijelölhet, amelyekbe az adatokat el szeretné küldeni.
A felső szalagcímen válassza a Mentés lehetőséget az új beállítás mentéséhez.
A SentinelHealth és a SentinelAudit adattáblák a kiválasztott erőforrásokhoz létrehozott első eseménynél jönnek létre.
Ellenőrizze, hogy a táblák fogadják-e az adatokat
A Microsoft Sentinel-naplók lapon futtasson egy lekérdezést a SentinelHealth táblában. Például:
_SentinelHealth()
| take 20
Következő lépések
- További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
- Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
- Monitorozza az adatösszekötők állapotát.
- Az elemzési szabályok állapotának és integritásának monitorozása.
- További információ a SentinelHealth és a SentinelAudit táblasémákról.