Aktivera granskning och hälsoövervakning för Microsoft Sentinel (förhandsversion)

Övervaka hälsotillståndet och granska integriteten för Microsoft Sentinel-resurser som stöds genom att aktivera funktionen för granskning och hälsoövervakning på sidan Inställningar i Microsoft Sentinel. Få insikter om hälsoavvikelser, till exempel de senaste felhändelserna eller ändringarna från lyckade till misslyckade tillstånd och om obehöriga åtgärder, och använd den här informationen för att skapa meddelanden och andra automatiserade åtgärder.

Om du vill hämta hälsodata från datatabellen SentinelHealth eller hämta granskningsinformation från datatabellen SentinelAudit måste du först aktivera microsoft Sentinel-gransknings- och hälsoövervakningsfunktionen för din arbetsyta.

Den här artikeln beskriver hur du aktiverar dessa funktioner.

Om du vill implementera hälso- och granskningsfunktionen med HJÄLP av API (Bicep/ARM/REST) läser du åtgärderna för diagnostikinställningar.

Information om hur du konfigurerar kvarhållningstiden för gransknings- och hälsohändelser finns i Konfigurera principer för datakvarhållning och arkivering i Azure Monitor-loggar.

Viktigt

Datatabellerna SentinelHealth och SentinelAudit finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Datatabeller och resurstyper

När funktionen är aktiverad skapas datatabellerna SentinelHealth och SentinelAudit vid den första händelsen som genereras för de valda resurserna.

Följande resurstyper stöds för närvarande för hälsoövervakning:

• Analysregler (ny!)
• Dataanslutningar
• Automatiseringsregler
• Spelböcker (Azure Logic Apps-arbetsflöden)

  Anteckning

  När du övervakar spelbokshälsan måste du också samla in diagnostikhändelser i Azure Logic Apps från dina spelböcker för att få en fullständig bild av spelboksaktiviteten. Mer information finns i Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker .

Endast resurstypen analysregel stöds för närvarande för granskning.

Aktivera granskning och hälsoövervakning för din arbetsyta

1. I Microsoft Sentinel går du till menyn Konfiguration till vänster och väljer Inställningar.

2. Välj Inställningar i banderollen.

3. Rulla ned till avsnittet Granskning och hälsoövervakning som visas nedan och välj det för att expandera.

4. Välj Aktivera för att aktivera granskning och hälsoövervakning för alla resurstyper och för att skicka gransknings- och övervakningsdata till din Microsoft Sentinel-arbetsyta (och ingen annanstans).

   Eller välj länken Konfigurera diagnostikinställningar för att endast aktivera hälsoövervakning för datainsamlaren och/eller automatiseringsresurserna, eller för att konfigurera avancerade alternativ, till exempel ytterligare platser där data ska skickas.

   

   Om du har valt Aktivera blir knappen nedtonad och ändras till Aktivering... och sedan Aktiverad. Vid den tidpunkten är granskning och hälsoövervakning aktiverat, och du är klar! Lämpliga diagnostikinställningar lades till i bakgrunden och du kan visa och redigera dem genom att välja länken Konfigurera diagnostikinställningar .

5. Om du har valt Konfigurera diagnostikinställningar väljer du + Lägg till diagnostikinställning på skärmen Diagnostikinställningar.

   (Om du redigerar en befintlig inställning väljer du den i listan över diagnostikinställningar.)

   • I fältet Namn på diagnostikinställning anger du ett beskrivande namn för inställningen.

   • I kolumnen Loggar väljer du lämpliga kategorier för de resurstyper som du vill övervaka, till exempel Datainsamling – Anslutningsappar. Välj allaLoggar om du vill övervaka analysregler.

   • Under Målinformation väljer du Skicka till Log Analytics-arbetsyta och väljer din prenumerations - och Log Analytics-arbetsyta i listrutorna.

     

     Om du behöver det kan du välja andra mål som du vill skicka dina data till, förutom Log Analytics-arbetsytan.

6. Välj Spara på den översta banderollen för att spara den nya inställningen.

Datatabellerna SentinelHealth och SentinelAudit skapas vid den första händelsen som genereras för de valda resurserna.

Kontrollera att tabellerna tar emot data

På sidan Microsoft Sentinel-loggar kör du en fråga i tabellen SentinelHealth . Exempel:

_SentinelHealth()
 | take 20

Nästa steg

• Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
• Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
• Övervaka hälsotillståndet för dina dataanslutningsprogram.
• Övervaka hälsotillståndet och integriteten för dina analysregler.
• Se mer information om tabellscheman för SentinelHealth och SentinelAudit .