Veri bağlayıcılarınızın durumunu izleme

Microsoft Sentinel hizmetinizde tam ve kesintisiz veri alımı sağlamak için veri bağlayıcılarınızın sistem durumunu, bağlantısını ve performansını takip edin.

Aşağıdaki özellikler, bu izlemeyi Microsoft Sentinel'in içinden gerçekleştirmenize olanak sağlar:

• Veri toplama sistem durumu izleme çalışma kitabı: Bu çalışma kitabı ek izleyiciler sağlar, anomalileri algılar ve çalışma alanının veri alımı durumuyla ilgili içgörü sağlar. Alınan verilerin genel durumunu izlemek ve özel görünümler ve kural tabanlı uyarılar oluşturmak için çalışma kitabının mantığını kullanabilirsiniz.

• SentinelHealth veri tablosu (Önizleme): Bu tablonun sorgulanması, bağlayıcı başına en son hata olayları veya başarılıdan hata durumlarına kadar değişiklik içeren bağlayıcılar gibi sistem durumu kaymalarıyla ilgili içgörüler sağlar. Bu bilgileri uyarı ve diğer otomatik eylemler oluşturmak için kullanabilirsiniz. SentinelHealth veri tablosu şu anda yalnızca seçili veri bağlayıcıları için desteklenmektedir.

  Önemli

  SentinelHealth veri tablosu şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

• Bağlı SAP sistemlerinizin durumunu ve durumunu görüntüleme: SAP veri bağlayıcısı altında SAP sistemlerinizin sistem durumu bilgilerini gözden geçirin ve SAP aracısının veri toplama durumu hakkında bilgi almak için bir uyarı kuralı şablonu kullanın.

Sistem durumu izleme çalışma kitabını kullanma

1. Microsoft Sentinel portalında, gezinti menüsünün İçerik yönetimi bölümünde İçerik hub'ı seçin.

2. İçerik hub'ında arama çubuğuna sistem durumu yazın ve sonuçlar arasından Veri toplama sistem durumu izleme'yi seçin.

3. Ayrıntılar bölmesinden Yükle'yi seçin. Çalışma kitabının yüklü olduğunu belirten bir bildirim iletisi gördüğünüzde veya Yükle yerine Yapılandırma'yı görürseniz sonraki adıma geçin.

4. Gezinti menüsünün Tehdit yönetimi bölümünden Çalışma Kitapları'nı seçin.

5. Çalışma Kitapları sayfasında Şablonlar sekmesini seçin, arama çubuğuna sistem durumu yazın ve sonuçlar arasından Veri toplama sistem durumunu izleme'yi seçin.

6. Çalışma kitabını olduğu gibi kullanmak için Şablonu görüntüle'yi veya çalışma kitabının düzenlenebilir bir kopyasını oluşturmak için Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.

7. Çalışma kitabına girdikten sonra, önce görüntülemek istediğiniz aboneliği ve çalışma alanını seçin, ardından verileri gereksinimlerinize göre filtrelemek için TimeRange'i tanımlayın. Çalışma kitabının yerinde açıklamasını görüntülemek için Yardımı göster iki durumlu düğmesini kullanın.

   

Bu çalışma kitabında üç sekmeli bölüm vardır:

• Genel Bakış sekmesi, seçili çalışma alanında veri alımının genel durumunu gösterir: birim ölçüleri, EPS oranları ve son günlük alınma zamanı.

• Veri toplama anomalileri sekmesi, tablo ve veri kaynağına göre veri toplama işlemindeki anomalileri algılamanıza yardımcı olur. Her sekme belirli bir tablo için anomaliler sunar ( Genel sekmesi bir tablo koleksiyonu içerir). Anomaliler, anomali puanı döndüren series_decompose_anomalies() işlevi kullanılarak hesaplanır. Bu işlev hakkında daha fazla bilgi edinin. İşlevin değerlendirmesi için aşağıdaki parametreleri ayarlayın:

  • AnomaliesTimeRange: Bu zaman seçici yalnızca veri toplama anomalileri görünümüne uygulanır.

  • SampleInterval: Verilerin verilen zaman aralığında örneklendiği zaman aralığı. Anomali puanı yalnızca son aralıktaki veriler üzerinde hesaplanır.

  • PositiveAlertThreshold: Bu değer pozitif anomali puanı eşiğini tanımlar. Ondalık değerleri kabul eder.

  • NegativeAlertThreshold: Bu değer negatif anomali puanı eşiğini tanımlar. Ondalık değerleri kabul eder.

    

• Aracı bilgileri sekmesi, Azure VM, diğer bulut VM'si, şirket içi VM veya fiziksel olsun, çeşitli makinelerinize yüklenen Log Analytics aracılarının durumu hakkında bilgi gösterir. Aşağıdakileri izleyebilirsiniz:

  • Sistem konumu

  • Sinyal durumu ve gecikme süresi

  • Kullanılabilir bellek ve disk alanı

  • Aracı işlemleri

    Bu bölümde makinelerinizin ortamını açıklayan sekmeyi seçmeniz gerekir: Yalnızca Azure Arc ile yönetilen makineleri görüntülemek istiyorsanız Azure tarafından yönetilen makineler sekmesini seçin; Log Analytics aracısının yüklü olduğu hem yönetilen hem de Azure dışı makineleri görüntülemek için Tüm makineler sekmesini seçin.

    

SentinelHealth veri tablosunu kullanma (Genel önizleme)

SentinelHealth veri tablosundan veri bağlayıcısı sistem durumu verilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel sistem durumu özelliğini açmanız gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel için sistem durumu izlemeyi açma.

Sistem durumu özelliği açıldıktan sonra, veri bağlayıcılarınız için oluşturulan ilk başarı veya başarısızlık olayında SentinelHealth veri tablosu oluşturulur.

Desteklenen veri bağlayıcıları

SentinelHealth veri tablosu şu anda yalnızca aşağıdaki veri bağlayıcıları için desteklenmektedir:

• Amazon Web Services (CloudTrail ve S3)
• Dynamics 365
• Office 365
• Uç Nokta için Microsoft Defender
• Tehdit Bilgileri - TAXII
• Tehdit Bilgileri Platformları

SentinelHealth tablo olaylarını anlama

Aşağıdaki sistem durumu olayı türleri SentinelHealth tablosuna kaydedilir:

• Veri getirme durumu değişikliği. Veri bağlayıcısı durumu sürekli başarı veya başarısızlık olaylarıyla kararlı kaldığı sürece saatte bir kez günlüğe kaydedilir. Veri bağlayıcısı durumu değişmediği sürece, yalnızca saatlik izleme, yedekli denetimi önlemek ve tablo boyutunu küçültmek için çalışır. Veri bağlayıcısının durumunda sürekli hatalar varsa, hatalarla ilgili ek ayrıntılar ExtendedProperties sütununa eklenir.

  Veri bağlayıcısının durumu başarılıdan başarısızlığa, başarısızlıktan başarıya değişirse veya hata nedenlerinde değişiklik olursa, olay ekibinizin proaktif ve anında eylem gerçekleştirmesine olanak sağlamak için hemen günlüğe kaydedilir.

  Kaynak hizmet azaltma gibi olası geçici hatalar yalnızca 60 dakikadan uzun süre devam ettikten sonra günlüğe kaydedilir. Bu 60 dakika, Microsoft Sentinel'in herhangi bir kullanıcı eylemi gerektirmeden arka uçtaki geçici bir sorunun üstesinden gelmesine ve verileri yakalamasına olanak tanır. Kesinlikle geçici olmayan hatalar hemen günlüğe kaydedilir.

• Hata özeti. Saatte bir, bağlayıcı başına, çalışma alanı başına toplu hata özetiyle günlüğe kaydedilir. Hata özeti olayları yalnızca bağlayıcı belirli bir saat boyunca yoklama hatalarıyla karşılaştığında oluşturulur. Bunlar, ExtendedProperties sütununda bağlayıcının kaynak platformunun sorgulandığı zaman aralığı ve zaman aralığında karşılaşılan hataların ayrı bir listesi gibi ek ayrıntıları içerir.

Daha fazla bilgi için bkz . SentinelHealth tablo sütunları şeması.

Sistem durumu kaymalarını algılamak için sorgu çalıştırma

Veri bağlayıcılarınızdaki sistem durumu kaymalarını algılamanıza yardımcı olmak için SentinelHealth tablosunda sorgular oluşturun. Örneğin:

Bağlayıcı başına en son hata olaylarını algılama:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Başarısız durumundan başarı durumuna kadar olan değişikliklerle bağlayıcıları algılama:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Başarılıdan başarısız duruma değişiklikleri olan bağlayıcıları algılayın:

let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Sistem durumu sorunları için uyarıları ve otomatik eylemleri yapılandırma

Microsoft Sentinel günlüklerinde otomasyonu yapılandırmak için Microsoft Sentinel analiz kurallarını kullanabilirsiniz ancak veri bağlayıcılarınızdaki sistem durumu kaymalarına karşı bildirim almak ve anında işlem yapmak istiyorsanız Azure İzleyici uyarı kurallarını kullanmanızı öneririz.

Örneğin:

1. Azure İzleyici uyarı kuralında, kural kapsamı olarak Microsoft Sentinel çalışma alanınızı ve ilk koşul olarak Özel günlük araması'nı seçin.

2. Sıklık veya geri arama süresi gibi uyarı mantığını gerektiği gibi özelleştirin ve ardından sistem durumu kaymalarını aramak için sorguları kullanın.

3. Kural eylemleri için mevcut bir eylem grubunu seçin veya anında iletme bildirimlerini veya sisteminizde Bir Logic App, Web Kancası veya Azure İşlevi tetikleme gibi diğer otomatik eylemleri yapılandırmak için yeni bir eylem grubu oluşturun.

Daha fazla bilgi için bkz . Azure İzleyici uyarılarına genel bakış ve Azure İzleyici uyarı günlüğü.

Sonraki adımlar

• Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
• Microsoft Sentinel'de denetimi ve sistem durumu izlemeyi açın.
• Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
• Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
• SentinelHealth ve SentinelAudit tablo şemaları hakkında daha fazla bilgi edinin.