Microsoft Sentinel 中的稽核和健康情況監視
Microsoft Sentinel 是推進和保護組織技術和資訊資產安全性的重要服務,因此您想要確定它一律能順暢且不受干擾。
您想要確認服務的許多行動元件一律如預期般運作,而且不會由內部使用者或其他動作操作。 您也可以設定健康情況漂移或未經授權的動作通知,以傳送給可回應或核准回應的相關項目關係人。 例如,您可以設定條件來觸發傳送電子郵件或 Microsoft Teams 訊息給作業小組、經理或官員、在票證系統中啟動新的票證等等。
本文說明 Microsoft Sentinel 的健康情況監視和稽核功能如何讓您監視服務中某些重要資源的活動,以及檢查服務內使用者動作的記錄。
健康情況和稽核數據記憶體
健康情況和稽核數據會在Log Analytics工作區的兩個數據表中收集: SentinelHealth 和 SentinelAudit
稽核數據會收集於 SentinelAudit 數據表中。
健康情況數據會收集在 SentinelHealth 數據表中,它會擷取每次執行自動化規則時記錄的事件,以及這些執行的最終結果。 SentinelHealth 數據表包括:
- 規則中啟動的動作是否成功或失敗,以及規則所呼叫的劇本。
- 記錄劇本的隨選(手動或 API 型)觸發事件,包括觸發劇本的身分識別,以及這些執行的最終結果
SentinelHealth 數據表不包含劇本內容的執行記錄,只會成功啟動劇本。 腳本中所採取的動作記錄,也就是Logic Apps工作流程,會列在 AzureDiagnostics 數據表中。 當與 SentinelHealth 數據搭配使用時,AzureDiagnostics 提供自動化健康情況的完整畫面。
您將使用此資料最常見的方式是查詢這些資料表。 為了獲得最佳結果,請在這些數據表的預先建置函式上建置查詢,_SentinelHealth() 和 _SentinelAudit(),而不是直接查詢數據表。 這些函式可確保在對數據表本身架構進行變更時,維護查詢的回溯相容性。
重要
SentinelHealth 和 SentinelAudit 數據表目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
驗證服務健康情況和稽核數據的問題
使用下列問題來引導您監視 Microsoft Sentinel 的健康情況和稽核數據:
數據連接器是否正常執行?
數據連接器是否接收數據? 例如,如果您已指示 Microsoft Sentinel 每隔 5 分鐘執行一次查詢,您想要檢查該查詢的執行方式、執行方式,以及查詢是否有任何風險或弱點。
自動化規則是否如預期般執行?
您的自動化規則在應該執行時是否執行,也就是符合其條件時? 自動化規則中的所有動作是否都成功執行?
分析規則是否如預期般執行?
分析規則在應該執行時是否執行,併產生結果嗎? 如果您預期會在佇列中看到特定事件,但您不想要知道規則是否已執行,但找不到任何專案(或足夠的專案),或完全未執行。
對分析規則進行未經授權的變更嗎?
規則中有所變更嗎? 您沒有從分析規則中取得預期的結果,而且沒有任何健康情況問題。 您想要查看規則是否有任何非計劃性變更,如果是,則變更者、由誰、從何處及何時進行。
健康情況和稽核監視流程
若要開始收集健康情況和稽核數據,您必須 在 Microsoft Sentinel 設定中啟用健康情況和稽核監視 。 然後,您可以深入探討 Microsoft Sentinel 收集的健康情況和稽核數據:
從 [Microsoft Sentinel Logs] 刀鋒視窗,在 SentinelHealth 和 SentinelAudit數據表上執行查詢。
使用 Microsoft Sentinel 中提供的稽核和健全狀況監視活頁簿。
使用 Microsoft Sentinel 的執行管理工具來 監視及優化排程分析規則的執行。
將數據匯出至各種目的地,例如 Log Analytics 工作區、封存至記憶體帳戶等等。 了解 記錄的支援目的地 。
下一步
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視 。
- 監視自動化規則和劇本的健康情況。
- 監視數據連接器的健康情況。
- 監視分析規則的健康情況和完整性。
- 請參閱 SentinelHealth 和 SentinelAudit 數據表架構的詳細資訊。
另請參閱: