تشغيل التدقيق والمراقبة الصحية ل Microsoft Sentinel (معاينة)
راقب سلامة موارد Microsoft Sentinel المدعومة والتدقيق فيها عن طريق تشغيل ميزة التدقيق ومراقبة الصحة في صفحة إعدادات Microsoft Sentinel. احصل على رؤى حول الانجرافات الصحية، مثل أحدث أحداث الفشل أو التغييرات من حالات النجاح إلى حالات الفشل، والإجراءات غير المصرح بها، واستخدم هذه المعلومات لإنشاء إعلامات وإجراءات تلقائية أخرى.
للحصول على البيانات الصحية من جدول بيانات SentinelHealth، أو للحصول على معلومات التدقيق من جدول بيانات SentinelAudit، يجب أولا تشغيل ميزة تدقيق Microsoft Sentinel ومراقبة السلامة لمساحة العمل الخاصة بك. ترشدك هذه المقالة إلى كيفية تشغيل هذه الميزات.
لتنفيذ ميزة الصحة والتدقيق باستخدام واجهة برمجة التطبيقات (Bicep/AZURE RESOURCE MANAGER (ARM)/REST)، راجع عمليات إعدادات التشخيص. لتكوين وقت الاستبقاء لأحداث التدقيق والصحة، راجع إدارة استبقاء البيانات في مساحة عمل Log Analytics.
هام
جداول بيانات SentinelHealth و SentinelAudit موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
المتطلبات الأساسية
- قبل البدء، تعرف على المزيد حول مراقبة الصحة والتدقيق في Microsoft Sentinel. لمزيد من المعلومات، راجع التدقيق والمراقبة الصحية في Microsoft Sentinel.
تشغيل التدقيق والمراقبة الصحية لمساحة العمل الخاصة بك
للبدء، قم بتمكين التدقيق والمراقبة الصحية من إعدادات Microsoft Sentinel.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Settings>Settings.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، ضمن System، حدد Settings>Microsoft Sentinel.حدد Auditing and health monitoring.
حدد تمكين لتمكين التدقيق والمراقبة الصحية عبر جميع أنواع الموارد وإرسال بيانات التدقيق والمراقبة إلى مساحة عمل Microsoft Sentinel (وليس أي مكان آخر).
أو حدد رابط تكوين إعدادات التشخيص لتمكين المراقبة الصحية فقط لمجمع البيانات و/أو موارد الأتمتة، أو لتكوين خيارات متقدمة، مثل المزيد من الأماكن لإرسال البيانات.
إذا حددت تمكين، فسيتغير الزر باللون الرمادي ليقرأ تمكين... ثم ممكن. عند هذه النقطة، يتم تمكين التدقيق والمراقبة الصحية، وقد انتهيت! تمت إضافة إعدادات التشخيص المناسبة خلف الكواليس، ويمكنك عرضها وتحريرها عن طريق تحديد ارتباط تكوين إعدادات التشخيص.
إذا حددت تكوين إعدادات التشخيص، ثم في شاشة إعدادات التشخيص، حدد + إضافة إعداد تشخيص.
(إذا كنت تقوم بتحرير إعداد موجود، فحدده من قائمة إعدادات التشخيص.)
في حقل "Diagnostic setting name"، أدخل اسماً ذا معنى للإعداد الخاص بك.
في العمود سجلات، حدد الفئات المناسبة لنوع الموارد التي تريد مراقبتها، على سبيل المثال مجموعة البيانات - الموصلات. حدد allLogs إذا كنت تريد مراقبة قواعد التحليلات.
ضمن Destination details، حدد Send to Log Analytics workspace، وحدد مساحة عمل Subscription وLog Analytics من القوائم المنسدلة.
إذا كنت بحاجة إلى ذلك، يمكنك تحديد وجهات أخرى لإرسال بياناتك إليها، بالإضافة إلى مساحة عمل Log Analytics.
حدد حفظ في الشعار العلوي لحفظ الإعداد الجديد.
يتم إنشاء جداول بيانات SentinelHealth و SentinelAudit في الحدث الأول الذي تم إنشاؤه للموارد المحددة.
تحقق من أن الجداول تتلقى البيانات
قم بتشغيل استعلامات Kusto Query Language (KQL) في مدخل Microsoft Azure أو مدخل Defender للتأكد من حصولك على بيانات الحماية والتدقيق.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن General، حدد Logs.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، ضمن التحقيق والاستجابة، حدد التتبع> المتقدم.تشغيل استعلام على جدول SentinelHealth . على سبيل المثال:
_SentinelHealth() | take 20
تشغيل استعلام على جدول SentinelAudit . على سبيل المثال:
_SentinelAudit() | take 20
جداول البيانات وأنواع الموارد المدعومة
عند تشغيل الميزة، يتم إنشاء جداول بيانات SentinelHealth و SentinelAudit في الحدث الأول الذي تم إنشاؤه للموارد المحددة.
تدعم مراقبة صحة Microsoft Sentinel حاليا الأنواع التالية من الموارد:
- قواعد التحليلات
- موصلات البيانات
- قواعد الأتمتة
- أدلة المبادئ (مهام سير عمل Azure Logic Apps)
إشعار
عند مراقبة صحة دليل المبادئ، تأكد من جمع أحداث تشخيص Azure Logic Apps من أدلة المبادئ للحصول على الصورة الكاملة لنشاط دليل المبادئ الخاص بك. لمزيد من المعلومات، راجع مراقبة صحة قواعد التشغيل التلقائي ودلائل المبادئ.
يتم حاليا دعم نوع مورد قاعدة التحليلات فقط للتدقيق.
الخطوات التالية
- تعرف على التدقيق والمراقبة الصحية في Microsoft Sentinel.
- مراقبة صحة موصلات البيانات.
- مراقبة سلامة وسلامة قواعد التحليلات الخاصة بك.