De status van uw gegevensconnectoren bewaken met deze Microsoft Sentinel-werkmap

  • Artikel
  • 2 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Met de werkmap Statuscontrole van gegevensconnectoren kunt u de status, connectiviteit en prestaties van uw gegevensconnectoren bijhouden vanuit Microsoft Sentinel. De werkmap biedt extra monitors, detecteert afwijkingen en geeft inzicht met betrekking tot de gegevens opnamestatus van de werkruimte. U kunt de logica van de werkmap gebruiken om de algemene status van de opgenomen gegevens te bewaken en om aangepaste weergaven en waarschuwingen op basis van regels te maken.

De werkmap voor statuscontrole gebruiken

  1. Selecteer in de Microsoft Sentinel-portal Werkmappen in het menu Bedreigingsbeheer.

  2. Voer in de galerie Workbooks de status in de zoekbalk in en selecteer Statuscontrole van gegevensverzameling in de resultaten.

  3. Selecteer Sjabloon weergeven om de werkmap te gebruiken zoals deze is of selecteer Opslaan om een bewerkbare kopie van de werkmap te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen werkmap weergeven.

  4. Selecteer in de werkmap eerst het abonnement en de werkruimte die u wilt weergeven en definieer vervolgens timerange om de gegevens te filteren op basis van uw behoeften. Gebruik de schakelknop Help weergeven om een in-place uitleg van de werkmap weer te geven.

    landingspagina voor gegevensconnector voor statuscontrole van werkmap

Deze werkmap bevat drie tabbladen:

  1. Op het tabblad Overzicht ziet u de algemene status van gegevensingestie in de geselecteerde werkruimte: volume metingen, EPS-tarieven en de tijd die het laatst is ontvangen van het logboek.

  2. Het tabblad Anomalieën van gegevensverzameling helpt u bij het detecteren van afwijkingen in het gegevensverzamelingsproces, per tabel en gegevensbron. Elk tabblad bevat afwijkingen voor een bepaalde tabel (het tabblad Algemeen bevat een verzameling tabellen). De afwijkingen worden berekend met behulp van de functie series_decompose_anomalies() die een anomaliescore retourneert. Meer informatie over deze functie. Stel de volgende parameters in om de functie te evalueren:

    • AnomaliesTimeRange: Deze tijdkiezer is alleen van toepassing op de weergave van afwijkingen in gegevensverzameling.

    • SampleInterval: Het tijdsinterval waarin gegevens worden bemonsterd binnen het opgegeven tijdsbereik. De afwijkingsscore wordt alleen berekend voor de gegevens van het laatste interval.

    • PositiveAlertThreshold: Deze waarde definieert de drempelwaarde voor de positieve afwijkingsscore. Deze accepteert decimale waarden.

    • NegativeAlertThreshold: Deze waarde definieert de drempelwaarde voor de negatieve afwijkingsscore. Deze accepteert decimale waarden.

      pagina met afwijkingen in werkmapken voor statuscontrole van gegevensconnector

  3. Op het tabblad Agentgegevens ziet u informatie over de status van de Log Analytics-agents die op uw verschillende computers zijn geïnstalleerd, of het nu gaat om Azure-VM's, andere virtuele machines in de cloud, on-premises VM's of fysieke machines. U kunt het volgende controleren:

    • Systeemlocatie

    • Heartbeatstatus en latentie

    • Beschikbaar geheugen en schijfruimte

    • Agentbewerkingen

    In deze sectie moet u het tabblad selecteren waarin de omgeving van uw machines wordt beschreven: kies het tabblad Door Azure beheerde machines als u alleen de door Azure Arc beheerde machines wilt weergeven; Kies het tabblad Alle machines om zowel beheerde als niet-Azure-machines weer te geven met de Log Analytics-agent geïnstalleerd.

    infopagina gegevensconnector voor statuscontrole van werkmap

Volgende stappen

Meer informatie over het onboarden van uwgegevens naar Microsoft Sentinel, het verbinden van gegevensbronnenen het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.