Bagikan melalui

Memantau kesehatan aturan dan playbook otomatisasi Anda

  • Artikel

Untuk memastikan fungsi dan performa orkestrasi keamanan, otomatisasi, dan operasi respons yang tepat di layanan Microsoft Azure Sentinel Anda, lacak kesehatan aturan otomatisasi dan playbook Anda dengan memantau log eksekusinya.

Siapkan pemberitahuan peristiwa kesehatan untuk pemangku kepentingan terkait, yang kemudian dapat mengambil tindakan. Misalnya, tentukan dan kirim email atau pesan Microsoft Teams, buat tiket baru di sistem tiket Anda, dan sebagainya.

Artikel ini menjelaskan cara menggunakan fitur pemantauan kesehatan Microsoft Sentinel untuk melacak aturan otomatisasi dan kesehatan playbook Anda dari dalam Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Audit dan pemantauan kesehatan di Microsoft Azure Sentinel.

Gunakan tabel data SentinelHealth (Pratinjau publik)

Untuk mendapatkan data kesehatan otomatisasi dari tabel data SentinelHealth , pertama-tama aktifkan fitur kesehatan Microsoft Azure Sentinel untuk ruang kerja Anda. Untuk informasi selengkapnya, lihat Mengaktifkan pemantauan kesehatan untuk Microsoft Sentinel.

Setelah fitur kesehatan diaktifkan, tabel data SentinelHealth dibuat pada peristiwa keberhasilan atau kegagalan pertama yang dihasilkan untuk aturan otomatisasi dan playbook Anda.

Memahami peristiwa tabel SentinelHealth

Jenis peristiwa kesehatan otomatisasi berikut dicatat dalam tabel SentinelHealth :

  • Aturan automasi berjalan. Dicatat setiap kali kondisi aturan otomatisasi terpenuhi, menyebabkannya berjalan. Selain bidang dalam tabel SentinelHealth dasar, peristiwa ini akan mencakup properti yang diperluas yang unik untuk menjalankan aturan otomatisasi, termasuk daftar playbook yang dipanggil oleh aturan. Contoh kueri berikut akan menampilkan peristiwa ini:

    SentinelHealth
| where OperationName == "Automation rule run"

  • Playbook dipicu. Dicatat setiap kali playbook dipicu pada insiden secara manual dari portal atau melalui API. Selain bidang dalam tabel SentinelHealth dasar, peristiwa ini akan mencakup properti yang diperluas yang unik untuk pemicu manual playbook. Contoh kueri berikut akan menampilkan peristiwa ini:

    SentinelHealth
| where OperationName == "Playbook was triggered"

Untuk informasi selengkapnya, lihat Skema kolom tabel SentinelHealth.

Status, kesalahan, dan langkah-langkah yang disarankan

Untuk status eksekusi aturan Automation, Anda mungkin melihat status berikut:

  • Berhasil: aturan berhasil dijalankan, memicu semua tindakan.

  • Keberhasilan parsial: aturan dijalankan dan memicu setidaknya satu tindakan, tetapi beberapa tindakan gagal.

  • Kegagalan: aturan otomatisasi tidak menjalankan tindakan apa pun karena salah satu alasan berikut:

    • Evaluasi kondisi gagal.
    • Kondisi terpenuhi, tetapi tindakan pertama gagal.

Untuk status Playbook dipicu, Anda mungkin melihat status berikut:

  • Berhasil: playbook berhasil dipicu.

  • Kegagalan: playbook tidak dapat dipicu.

    Catatan

    Keberhasilan berarti hanya aturan otomatisasi yang berhasil memicu playbook. Ini tidak memberi tahu Anda kapan playbook dimulai atau berakhir, hasil tindakan di playbook, atau hasil akhir playbook.

    Untuk menemukan informasi ini, kueri log diagnostik Logic Apps. Untuk informasi selengkapnya, lihat Mendapatkan gambar otomatisasi lengkap.

Deskripsi kesalahan dan tindakan yang disarankan

Deskripsi kesalahan Tindakan yang disarankan
Tidak dapat menambahkan tugas: <TaskName>.
Insiden/pemberitahuan tidak ditemukan.		 Pastikan insiden/pemberitahuan ada dan coba lagi.
Tidak dapat mengubah properti: <PropertyName>.
Insiden/pemberitahuan tidak ditemukan.		 Pastikan insiden/pemberitahuan ada dan coba lagi.
Tidak dapat mengubah properti: <PropertyName>.
Terlalu banyak permintaan, melebihi batas pembatasan.
Tidak dapat memicu playbook: PlaybookName>.<
Insiden/pemberitahuan tidak ditemukan.		 Jika kesalahan terjadi saat mencoba memicu playbook sesuai permintaan, pastikan insiden/pemberitahuan ada dan coba lagi.
Tidak dapat memicu playbook: PlaybookName>.<
Playbook tidak ditemukan, atau Microsoft Azure Sentinel kehilangan izin di dalamnya.		 Edit aturan otomatisasi, temukan dan pilih playbook di lokasi barunya, dan simpan. Pastikan Microsoft Azure Sentinel memiliki izin untuk menjalankan playbook ini.
Tidak dapat memicu playbook: PlaybookName>.<
Berisi tipe pemicu yang tidak didukung.		 Pastikan playbook Anda dimulai dengan pemicu Logic Apps yang benar: Insiden Microsoft Sentinel atau Pemberitahuan Microsoft Azure Sentinel.
Tidak dapat memicu playbook: PlaybookName>.<
Langganan dinonaktifkan dan ditandai sebagai baca-saja. Playbook dalam langganan ini tidak dapat dijalankan hingga langganan diaktifkan kembali.		 Aktifkan kembali langganan Azure tempat playbook berada.
Tidak dapat memicu playbook: PlaybookName>.<
Playbook dinonaktifkan.		 Aktifkan playbook Anda, di Microsoft Azure Sentinel di tab Playbook Aktif di bawah Automation, atau di halaman sumber daya Logic Apps.
Tidak dapat memicu playbook: PlaybookName>.<
Definisi templat tidak valid.		 Ada kesalahan dalam definisi playbook. Buka perancang Logic Apps untuk memperbaiki masalah dan menyimpan playbook.
Tidak dapat memicu playbook: PlaybookName>.<
Konfigurasi kontrol akses membatasi Microsoft Azure Sentinel.		 Konfigurasi Logic Apps memungkinkan pembatasan akses untuk memicu playbook. Pembatasan ini berlaku untuk playbook ini. Hapus pembatasan ini sehingga Microsoft Azure Sentinel tidak diblokir. Pelajari lebih lanjut
Tidak dapat memicu playbook: PlaybookName>.<
Microsoft Sentinel kehilangan izin untuk menjalankannya.		 Microsoft Azure Sentinel memerlukan izin untuk menjalankan playbook.
Tidak dapat memicu playbook: PlaybookName>.<
Playbook tidak dimigrasikan ke model izin baru. Berikan izin Microsoft Azure Sentinel untuk menjalankan playbook ini dan menyimpan ulang aturan.		 Berikan izin Microsoft Azure Sentinel untuk menjalankan playbook ini dan menyimpan ulang aturan.
Tidak dapat memicu playbook: PlaybookName>.<
Terlalu banyak permintaan, melebihi batas pembatasan alur kerja.		 Jumlah eksekusi alur kerja tunggu telah melebihi batas maksimum yang diizinkan. Coba tingkatkan nilai 'maximumWaitingRuns' dalam konfigurasi konkurensi pemicu.
Tidak dapat memicu playbook: PlaybookName>.<
Terlalu banyak permintaan, melebihi batas pembatasan.		 Pelajari selengkapnya tentang batas langganan dan penyewa.
Tidak dapat memicu playbook: PlaybookName>.<
Akses dilarang. Identitas terkelola tidak memiliki konfigurasi atau pembatasan jaringan Logic Apps telah ditetapkan.		 Jika playbook menggunakan identitas terkelola, pastikan identitas terkelola ditetapkan dengan izin. Playbook mungkin memiliki aturan pembatasan jaringan yang mencegahnya dipicu saat memblokir layanan Microsoft Azure Sentinel.
Tidak dapat memicu playbook: PlaybookName>.<
Langganan atau grup sumber daya dikunci.		 Hapus kunci untuk mengizinkan playbook pemicu Microsoft Azure Sentinel dalam cakupan terkunci. Pelajari selengkapnya tentang sumber daya terkunci.
Tidak dapat memicu playbook: PlaybookName>.<
Pemanggil kehilangan izin pemicu playbook yang diperlukan pada playbook, atau Microsoft Sentinel kehilangan izin di dalamnya.		 Pengguna yang mencoba memicu playbook sesuai permintaan kehilangan peran Kontributor Logic Apps pada playbook atau untuk memicu playbook. Pelajari lebih lanjut
Tidak dapat memicu playbook: PlaybookName>.<
Kredensial tidak valid dalam koneksi.		 Periksa kredensial yang digunakan koneksi Anda di layanan koneksi API di portal Azure.
Tidak dapat memicu playbook: PlaybookName>.<
ID ARM playbook tidak valid.

Dapatkan gambar otomatisasi lengkap

Tabel pemantauan kesehatan Microsoft Azure Sentinel memungkinkan Anda melacak kapan playbook dipicu, tetapi untuk memantau apa yang terjadi di dalam playbook Anda dan hasilnya saat dijalankan, Anda juga harus mengaktifkan diagnostik di Azure Logic Apps untuk menyerap peristiwa berikut ke tabel AzureDiagnostics :

  • {Nama tindakan} dimulai
  • {Nama tindakan} berakhir
  • Alur kerja (playbook) dimulai
  • Alur kerja (playbook) berakhir

Peristiwa tambahan ini memberikan wawasan tambahan tentang tindakan yang diambil di playbook Anda.

Mengaktifkan diagnostik Azure Logic Apps

Untuk setiap playbook yang Anda minati dalam pemantauan, aktifkan Log Analytics untuk aplikasi logika Anda. Pastikan untuk memilih Kirim ke ruang kerja Log Analytics sebagai tujuan log Anda, dan pilih ruang kerja Microsoft Azure Sentinel Anda.

Menghubungkan log Microsoft Sentinel dan Azure Logic Apps

Sekarang setelah Anda memiliki log untuk aturan otomatisasi dan playbook dan log untuk alur kerja Logic Apps individual di ruang kerja Anda, Anda dapat menghubungkannya untuk mendapatkan gambaran lengkap. Pertimbangkan kueri sampel berikut:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Menggunakan buku kerja pemantauan kondisi

Buku kerja kesehatan Automation membantu Anda memvisualisasikan data kesehatan Anda, serta korelasi antara dua jenis log yang baru saja kami sebutkan. Buku kerja menyertakan tampilan berikut:

  • Kesehatan dan detail aturan automasi
  • Kesehatan dan detail pemicu playbook
  • Playbook menjalankan kesehatan dan detail (memerlukan Azure Diagnostic diaktifkan pada tingkat Playbook)
  • Detail otomatisasi per insiden

Contohnya:

Cuplikan layar memperlihatkan panel pembuka buku kerja kesehatan otomatisasi.

Pilih tab Playbook yang dijalankan oleh Aturan Automation untuk melihat aktivitas playbook.

Cuplikan layar memperlihatkan daftar playbook yang dipanggil oleh aturan otomatisasi.

Pilih playbook untuk melihat daftar eksekusinya di bagan telusuri paling detail di bawah ini.

Cuplikan layar memperlihatkan daftar eksekusi playbook yang dipilih.

Pilih eksekusi tertentu untuk melihat hasil tindakan di playbook.

Cuplikan layar memperlihatkan tindakan yang diambil dalam eksekusi tertentu dari playbook ini.

Langkah berikutnya