Microsoft Sentinel の監査と稼働状況の監視を有効にする (プレビュー)

Microsoft Sentinel の [設定] ページで監査と稼働状況の監視機能を有効にして、サポートされる Microsoft Sentinel リソースの正常性を監視し、整合性を監査します。 最新のエラー イベント、成功から失敗への状態の変化、承認されていないアクションなどの正常性ドリフトに関する分析情報を入手し、その情報を使用して、通知などの自動化されたアクションを作成します。

"SentinelHealth" データ テーブルからの正常性データの取得や、"SentinelAudit" データ テーブルからの監査情報の取得を行うには、まずワークスペースに対して Microsoft Sentinel の監査と稼働状況の監視機能を有効にする必要があります。

この記事では、これらの機能を有効にする方法について説明します。

API (Bicep/ARM/REST) を使用して正常性と監査の機能を実装するには、診断設定の操作に関するページを確認してください。

監査と正常性のイベントのリテンション期間を構成するには、「データ保持とアーカイブの各ポリシーを Azure Monitor ログで構成する」を参照してください。

重要

SentinelHealth と SentinelAudit データ テーブルは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

データ テーブルとリソースの種類

この機能を有効にすると、選択したリソースに対して生成された最初のイベントで "SentinelHealth" と "SentinelAudit" データ テーブルが作成されます。

現在は、稼働状況の監視について次のリソースの種類がサポートされています。

• 分析ルール (新規)
• データ コネクタ
• オートメーション ルール
• プレイブック (Azure Logic Apps ワークフロー)

  注意

  プレイブックの正常性を監視する際、プレイブックのアクティビティの全体像を把握するためには、プレイブックから Azure Logic Apps 診断イベントも収集する必要があります。 詳細については、「オートメーション ルールとプレイブックの正常性を監視する」を参照してください。

現在、監査については分析ルールというリソースの種類のみがサポートされています。

ワークスペースの監査と稼働状況の監視を有効にする

1. Microsoft Sentinel で、左側の [構成] メニューの [設定] を選択します。

2. バナーから [設定] を選択します。

3. 下に表示される [監査と正常性の監視] セクションまでスクロールし、それを選択して展開します。

4. [有効にする] を選択して、すべてのリソースの種類にわたる監査と稼働状況の監視を有効にし、監査と監視のデータを Microsoft Sentinel ワークスペースに送信します (それ以外にはしない)。

   または、[診断設定の構成] リンクを選択して、データ コレクターやオートメーション リソースに対してのみ稼働状況の監視を有効にするか、データを送信する追加の場所などの詳細オプションを構成します。

   

   [有効にする] を選択した場合、ボタンは淡色表示され、[有効化中]、次に [有効済み] と表示が変わります。 その時点で、監査と稼働状況の監視が有効になり、作業は完了します。 適切な診断設定がバックグラウンドで追加され、[診断設定の構成] リンクを選択して表示および編集できます。

5. [診断設定の構成] を選択した場合は、[診断設定] 画面で [+ 診断設定を追加する] を選択します。

   (既存の設定を編集する場合は、診断設定の一覧から選択します)。

   • [診断設定の名前] フィールドに、わかりやすい設定名を入力します。

   • [ログ] 列で、監視したいリソースの種類の適切なカテゴリを選択します ([Data Collection - Connectors] (データ収集 - コネクタ) など)。 分析ルールを監視する場合は、[allLogs] を選択します。

   • [宛先の詳細] で [Log Analytics ワークスペースへの送信] を選択し、該当するサブスクリプションと Log Analytics ワークスペースをドロップダウン メニューから選択します。

     

     必要に応じて、Log Analytics ワークスペースに加えて他の宛先を、データの送信先に選択できます。

6. 上部のバナーにある [保存] を選択して、新しい設定を保存します。

選択したリソースに対して生成された最初のイベントで "SentinelHealth" と "SentinelAudit" データ テーブルが作成されます。

テーブルがデータを受信していることを確認する

Microsoft Sentinel の [ログ] ページで、SentinelHealth テーブルに対してクエリを実行します。 次に例を示します。

_SentinelHealth()
 | take 20

次のステップ

• Microsoft Sentinel での監査と稼働状況の監視について確認します。
• オートメーション ルールとプレイブックの正常性を監視します。
• データ コネクタの正常性を監視します。
• 分析ルールの正常性と整合性を監視します。
• "SentinelHealth" および "SentinelAudit" テーブル スキーマの詳細を確認します。