Mengaktifkan audit dan pemantauan kesehatan untuk Microsoft Azure Sentinel (pratinjau)

Pantau kesehatan dan audit integritas sumber daya Microsoft Sentinel yang didukung dengan mengaktifkan fitur audit dan pemantauan kesehatan di halaman Pengaturan Microsoft Azure Sentinel. Dapatkan wawasan tentang penyimpangan kesehatan, seperti peristiwa kegagalan terbaru atau perubahan dari status keberhasilan menjadi kegagalan, dan pada tindakan yang tidak sah, dan gunakan informasi ini untuk membuat pemberitahuan dan tindakan otomatis lainnya.

Untuk mendapatkan data kesehatan dari tabel data SentinelHealth , atau untuk mendapatkan informasi audit dari tabel data SentinelAudit , Anda harus terlebih dahulu mengaktifkan fitur audit dan pemantauan kesehatan Microsoft Azure Sentinel untuk ruang kerja Anda.

Artikel ini menginstruksikan cara mengaktifkan fitur-fitur ini.

Untuk menerapkan fitur kesehatan dan audit menggunakan API (Bicep/ARM/REST), tinjau operasi Pengaturan Diagnostik.

Untuk mengonfigurasi waktu retensi untuk peristiwa audit dan kesehatan Anda, lihat Mengonfigurasi kebijakan penyimpanan dan arsip data di Log Azure Monitor.

Penting

Tabel data SentinelHealth dan SentinelAudit saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Tabel data dan jenis sumber daya

Saat fitur diaktifkan, tabel data SentinelHealth dan SentinelAudit dibuat pada peristiwa pertama yang dihasilkan untuk sumber daya yang dipilih.

Jenis sumber daya berikut saat ini didukung untuk pemantauan kesehatan:

• Aturan analitik (Baru!)
• Konektor data
• Aturan automasi
• Playbook (alur kerja Azure Logic Apps)

  Catatan

  Saat memantau kesehatan playbook, Anda juga harus mengumpulkan peristiwa diagnostik Azure Logic Apps dari playbook Anda untuk mendapatkan gambaran lengkap aktivitas playbook Anda. Lihat Memantau kesehatan aturan otomatisasi dan playbook Anda untuk informasi selengkapnya.

Hanya jenis sumber daya aturan analitik yang saat ini didukung untuk audit.

Mengaktifkan audit dan pemantauan kesehatan untuk ruang kerja Anda

1. Di Microsoft Azure Sentinel, di bawah menu Konfigurasi di sebelah kiri, pilih Pengaturan.

2. Pilih Pengaturan dari banner.

3. Gulir ke bawah ke bagian Audit dan pemantauan kesehatan yang muncul di bawah ini, dan pilih untuk diperluas.

4. Pilih Aktifkan untuk mengaktifkan audit dan pemantauan kesehatan di semua jenis sumber daya dan untuk mengirim data audit dan pemantauan ke ruang kerja Microsoft Azure Sentinel Anda (dan di tempat lain).

   Atau, pilih tautan Konfigurasi pengaturan diagnostik untuk mengaktifkan pemantauan kesehatan hanya untuk pengumpul data dan/atau sumber daya otomatisasi, atau untuk mengonfigurasi opsi tingkat lanjut, seperti tempat tambahan untuk mengirim data.

   

   Jika Anda memilih Aktifkan, maka tombol akan berwarna abu-abu dan berubah untuk membaca Mengaktifkan... lalu Diaktifkan. Pada saat itu, audit dan pemantauan kesehatan diaktifkan, dan Anda selesai! Pengaturan diagnostik yang sesuai ditambahkan di belakang layar, dan Anda dapat melihat dan mengeditnya dengan memilih tautan Konfigurasi pengaturan diagnostik .

5. Jika Anda memilih Konfigurasikan pengaturan diagnostik, lalu di layar Pengaturan diagnostik , pilih + Tambahkan pengaturan diagnostik.

   (Jika Anda mengedit pengaturan yang sudah ada, pilih dari daftar pengaturan diagnostik.)

   • Pada bidang Nama pengaturan diagnostik masukkan nama yang bermakna untuk pengaturan Anda.

   • Di kolom Log , pilih Kategori yang sesuai untuk jenis sumber daya yang ingin Anda pantau, misalnya Pengumpulan Data - Konektor. Pilih semuaLog jika Anda ingin memantau aturan analitik.

   • Di bawah Detail tujuan, pilih Kirim ke ruang kerja Analitik Log, dan pilih ruang kerja Langganan dan Analitik Log Anda dari menu dropdown.

     

     Jika diperlukan, Anda dapat memilih tujuan lain untuk mengirim data Anda, selain ruang kerja Analitik Log.

6. Pilih Simpan di banner atas untuk menyimpan pengaturan baru Anda.

Tabel data SentinelHealth dan SentinelAudit dibuat pada peristiwa pertama yang dihasilkan untuk sumber daya yang dipilih.

Verifikasi bahwa tabel menerima data

Dalam halaman Log Microsoft Sentinel, jalankan kueri pada tabel SentinelHealth. Contohnya:

_SentinelHealth()
 | take 20

Langkah berikutnya

• Pelajari tentang audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Pantau kesehatan aturan dan playbook otomatisasi Anda.
• Pantau kesehatan konektor data Anda.
• Pantau kesehatan dan integritas aturan analitik Anda.
• Lihat informasi selengkapnya tentang skema tabel SentinelHealth dan SentinelAudit .