Memantau kesehatan konektor data Anda

Untuk memastikan penyerapan data yang lengkap dan tidak terganggu di layanan Microsoft Azure Sentinel Anda, lacak kesehatan, konektivitas, dan performa konektor data Anda.

Fitur berikut memungkinkan Anda melakukan pemantauan ini dari dalam Microsoft Azure Sentinel:

• Buku kerja pemantauan kesehatan pengumpulan data: Buku kerja ini menyediakan pemantauan tambahan, mendeteksi anomali, dan memberikan wawasan mengenai status penyerapan data ruang kerja. Anda dapat menggunakan logika buku kerja untuk memantau kondisi umum data yang diserap, dan untuk menyusun tampilan kustom dan pemberitahuan berbasis aturan.

• Tabel data SentinelHealth (Pratinjau): Mengkueri tabel ini memberikan wawasan tentang drift kesehatan, seperti peristiwa kegagalan terbaru per konektor, atau konektor dengan perubahan dari status keberhasilan ke kegagalan, yang dapat Anda gunakan untuk membuat pemberitahuan dan tindakan otomatis lainnya. Tabel data SentinelHealth yang saat ini hanya didukung untuk konektor data terpilih.

  Penting

  Tabel data SentinelHealth saat ini berada dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

• Lihat kesehatan dan status sistem SAP yang terhubung: Tinjau informasi kesehatan untuk sistem SAP Anda di bawah konektor data SAP, dan gunakan templat aturan pemberitahuan untuk mendapatkan informasi tentang kesehatan pengumpulan data agen SAP.

Menggunakan buku kerja pemantauan kondisi

1. Dari portal Microsoft Azure Sentinel, pilih Hub konten dari bagian Manajemen konten di menu navigasi.

2. Di hub Konten, masukkan kesehatan di bilah pencarian, dan pilih Pemantauan kesehatan pengumpulan data dari antara hasilnya.

3. Pilih Instal dari panel detail. Saat Anda melihat pesan pemberitahuan bahwa buku kerja diinstal, atau jika alih-alih Menginstal, Anda melihat Konfigurasi, lanjutkan ke langkah berikutnya.

4. Pilih Buku Kerja dari bagian Manajemen ancaman pada menu navigasi.

5. Di halaman Buku Kerja , pilih tab Templat , masukkan kesehatan di bilah pencarian, dan pilih Pemantauan kesehatan pengumpulan data dari antara hasil.

6. Pilih Tampilkan templat untuk menggunakan buku kerja apa adanya, atau pilih Simpan untuk membuat salinan buku kerja yang dapat diedit. Ketika salinan dibuat, pilih Tampilkan buku kerja yang disimpan.

7. Setelah berada di buku kerja, pertama-tama pilih langganan dan ruang kerja yang ingin Anda tampilkan, lalu tentukan TimeRange untuk memfilter data sesuai dengan kebutuhan Anda. Gunakan tombol Perlihatkan bantuan untuk menampilkan penjelasan di tempat buku kerja.

   

Ada tiga bagian yang di-tab dalam buku kerja ini:

• Tab Gambaran Umum memperlihatkan status umum penyerapan data di ruang kerja yang dipilih: pengukuran volume, tarif EPS, dan waktu log terakhir yang diterima.

• Tab Anomali pengumpulan data akan membantu Anda mendeteksi anomali dalam proses pengumpulan data, menurut tabel dan sumber data. Setiap tab menyajikan anomali untuk tabel tertentu (tab Umum menyertakan kumpulan tabel). Anomali dihitung menggunakan fungsi series_decompose_anomalies() yang mengembalikan skor anomali. Pelajari selengkapnya tentang penyiapan ini. Atur parameter berikut untuk fungsi yang akan dievaluasi:

  • AnomaliesTimeRange: Pemilih waktu ini hanya berlaku untuk tampilan anomali pengumpulan data.

  • SampleInterval: Interval waktu ketika data diambil sampelnya dalam rentang waktu tertentu. Skor anomali hanya dihitung pada data interval terakhir.

  • PositiveAlertThreshold: Nilai ini mendefinisikan ambang batas skor anomali positif. Ini menerima nilai desimal.

  • PositiveAlertThreshold: Nilai ini mendefinisikan ambang batas skor anomali positif. Ini menerima nilai desimal.

    

• Tab Info agen menampilkan kepada Anda informasi tentang kondisi agen Analitik Log yang terinstal di berbagai mesin Anda, baik Azure VM, VM cloud lainnya, VM lokal, atau fisik. Anda dapat memantau hal-hal berikut:

  • Lokasi sistem

  • Status dan latensi heartbeat

  • Ruang diks dan memori yang tersedia

  • Operasi agen

    Di bagian ini Anda harus memilih tab yang menjelaskan lingkungan mesin Anda: pilih tab Mesin yang dikelola Azure jika Anda hanya ingin melihat mesin yang dikelola Azure Arc, pilih tab Semua mesin untuk melihat mesin yang dikelola dan bukan Azure dengan agen Analitik Log terinstal.

    

Gunakan tabel data SentinelHealth (Pratinjau publik)

Untuk mendapatkan data kesehatan konektor data dari tabel data SentinelHealth , Anda harus terlebih dahulu mengaktifkan fitur kesehatan Microsoft Azure Sentinel untuk ruang kerja Anda. Untuk informasi selengkapnya, lihat Mengaktifkan pemantauan kesehatan untuk Microsoft Sentinel.

Setelah fitur kesehatan diaktifkan, tabel data SentinelHealth dibuat saat peristiwa keberhasilan atau kegagalan pertama yang dihasilkan untuk konektor data Anda.

Konektor data yang didukung

Tabel data SentinelHealth yang saat ini hanya didukung untuk konektor data berikut:

• AWS (CloudTrail dan S3)
• Dynamics 365
• Office 365
• Microsoft Defender untuk Titik Akhir
• Inteligensi Ancaman - TAXII
• Platform Inteligensi Ancaman

Memahami peristiwa tabel SentinelHealth

Jenis peristiwa kesehatan berikut ini dicatat dalam tabel SentinelHealth:

• Perubahan status pengambilan data. Tercatat setiap satu jam sekali selama status konektor data tetap stabil, baik dengan peristiwa berhasil atau gagal yang berkelanjutan. Selama status konektor data tidak berubah, pemantauan hanya bekerja setiap jam untuk mencegah audit redundan dan mengurangi ukuran tabel. Jika status konektor data mengalami kegagalan berkelanjutan, detail tambahan mengenai kegagalan disertakan dalam kolom ExtendedProperties.

  Jika status konektor data berubah, baik dari berhasil menjadi gagal, dari gagal menjadi berhasil, atau berubah dengan alasan kegagalan, maka peristiwa tersebut segera dicatat untuk memungkinkan tim Anda mengambil tindakan langsung dan proaktif.

  Kesalahan yang berpotensi sementara, seperti pembatasan layanan sumber, dicatat hanya setelah berlanjut selama lebih dari 60 menit. 60 menit ini memungkinkan Microsoft Sentinel untuk mengatasi masalah sementara pada backend dan mengejar data, tanpa memerlukan tindakan pengguna. Kesalahan yang pastinya tidak bersifat sementara langsung dicatat.

• Ringkasan kegagalan. Tercatat setiap satu jam sekali, setiap konektor, setiap ruang kerja, dengan ringkasan kegagalan yang diagregasi. Peristiwa ringkasan kegagalan dibuat hanya ketika konektor mengalami kesalahan polling selama waktu yang diberikan. Peristiwa itu berisi detail tambahan yang disediakan di kolom ExtendedProperties, seperti periode waktu saat platform sumber konektor dikueri, dan daftar kegagalan yang berbeda yang dihadapi selama periode tersebut.

Untuk informasi selengkapnya, lihat Skema kolom tabel SentinelHealth.

Menjalankan kueri untuk mendeteksi penyimpangan kesehatan

Buat kueri pada tabel SentinelHealth untuk membantu Anda mendeteksi penyimpangan kesehatan di dalam konektor data Anda. Misalnya:

Mendeteksi peristiwa kegagalan terakhir pada setiap konektor:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Mendeteksi konektor dengan perubahan dari status gagal menjadi berhasil:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Mendeteksi konektor dengan perubahan dari status berhasil menjadi gagal:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Mengonfigurasi peringatan dan tindakan otomatis bagi masalah kesehatan

Saat Anda dapat menggunakan aturan analitik Microsoft Sentinel untuk mengonfigurasi otomatisasi di dalam log Microsoft Sentinel, bila ingin diberi tahu dan mengambil tindakan langsung untuk penyimpangan kesehatan pada konektor data Anda, maka kami merekomendasikan Anda menggunakan aturan peringatan Azure Monitor.

Misalnya:

1. Di dalam aturan peringatan Azure Monitor, pilih ruang kerja Microsoft Sentinel Anda sebagai cakupan aturan, dan Pencarian log kustom sebagai kondisi permulaan.

2. Sesuaikan logika peringatan sesuai kebutuhan, seperti frekuensi atau durasi lookback, lalu gunakan kueri untuk mencari penyimpangan kesehatan.

3. Selama tindakan aturan, pilih grup tindakan yang sudah ada atau buat yang baru sesuai kebutuhan untuk mengonfigurasi pemberitahuan push atau tindakan otomatis lainnya seperti memicu Logic App, Webhook, atau Fungsi Azure pada sistem Anda.

Untuk informasi selengkapnya, lihat ringkasan peringatan Azure Monitor dan log peringatan Azure Monitor.

Langkah berikutnya

• Pelajari tentang audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Aktifkan audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Pantau kesehatan aturan otomatisasi dan playbook Anda.
• Pantau kesehatan dan integritas aturan analitik Anda.
• Lihat informasi selengkapnya tentang skema tabel SentinelHealth dan SentinelAudit.