A Microsoft Sentinel naplózásának és állapotfigyelésének bekapcsolása (előzetes verzió)

Cikk
11/05/2024
A következőre érvényes::

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

A Microsoft Sentinel Beállítások lapján a naplózási és állapotmonitorozási funkció bekapcsolásával monitorozható a támogatott Microsoft Sentinel-erőforrások állapota és integritása. Elemzéseket kaphat az állapotváltozásokról, például a legutóbbi hibaeseményekről vagy a sikeres állapotok változásáról, valamint a jogosulatlan műveletekről, és ezen információk használatával értesítéseket és egyéb automatizált műveleteket hozhat létre.

Ha állapotadatokat szeretne lekérni a SentinelHealth adattáblából, vagy a SentinelAudit adattáblából szeretné lekérni a naplózási adatokat, először be kell kapcsolnia a Microsoft Sentinel naplózási és állapotmonitorozási funkcióját a munkaterületen. Ez a cikk bemutatja, hogyan kapcsolhatja be ezeket a funkciókat.

Az állapot- és naplózási funkció API-val (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) történő implementálásához tekintse át a diagnosztikai beállítások műveleteit. Az audit- és állapotesemények megőrzési idejének konfigurálásához lásd : Adatmegőrzés kezelése Log Analytics-munkaterületen.

Fontos

A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Mielőtt elkezdené, tudjon meg többet az állapotfigyelésről és a naplózásról a Microsoft Sentinelben. További információ: Naplózás és állapotfigyelés a Microsoft Sentinelben.

Naplózás és állapotfigyelés bekapcsolása a munkaterületen

Első lépésként engedélyezze a naplózást és az állapotfigyelést a Microsoft Sentinel beállításai között.

A Microsoft Sentinel esetében az Azure Portal Konfiguráció területén válassza a Beállítások beállítások lehetőséget>.
Microsoft Sentinel esetén a Defender portál Rendszer területén válassza a Beállítások>Microsoft Sentinel lehetőséget.
Válassza a Naplózás és az állapotfigyelés lehetőséget.
Az Engedélyezés lehetőséget választva engedélyezheti a naplózást és az állapotfigyelést az összes erőforrástípusban, és elküldheti a naplózási és monitorozási adatokat a Microsoft Sentinel-munkaterületre (és sehol máshol).

Vagy a Diagnosztikai beállítások konfigurálása hivatkozásra kattintva engedélyezheti az állapotfigyelést csak az adatgyűjtő és/vagy az automatizálási erőforrások számára, vagy speciális beállításokat konfigurálhat, például több helyet az adatok elküldéséhez.
- Azure Portalra
- Defender portál
Ha az Engedélyezés lehetőséget választotta, a gomb kiszürkedik, és az Engedélyezés gombra változik, majd engedélyezve lesz. Ezen a ponton a naplózás és az állapotfigyelés engedélyezve van, és elkészült! A megfelelő diagnosztikai beállítások a színfalak mögött lettek hozzáadva, és a Diagnosztikai beállítások konfigurálása hivatkozásra kattintva megtekintheti és szerkesztheti őket.
Ha a Diagnosztikai beállítások konfigurálása lehetőséget választotta, akkor a Diagnosztikai beállítások képernyőn válassza a + Diagnosztikai beállítás hozzáadása lehetőséget.

(Ha egy meglévő beállítást szerkeszt, válassza ki a diagnosztikai beállítások listájából.)
- A Diagnosztikai beállítás neve mezőben adjon meg egy értelmes nevet a beállításnak.
- A Naplók oszlopban válassza ki a figyelni kívánt erőforrástípusok megfelelő kategóriáit, például adatgyűjtés – összekötők. Ha az elemzési szabályokat szeretné figyelni, válassza az allLogs lehetőséget.
- A Céladatok csoportban válassza a Küldés a Log Analytics-munkaterületre lehetőséget, majd válassza ki az Előfizetés és a Log Analytics-munkaterületet a legördülő menükből.
  
  Ha szükséges, a Log Analytics-munkaterületen kívül más célhelyeket is kijelölhet az adatok elküldéséhez.
Az új beállítás mentéséhez válassza a Mentés a felső sávon lehetőséget.

A SentinelHealth és a SentinelAudit adattáblák a kijelölt erőforrásokhoz létrehozott első eseménynél jönnek létre.

Ellenőrizze, hogy a táblák fogadnak-e adatokat

Futtassa Kusto lekérdezésnyelv (KQL) lekérdezéseket az Azure Portalon vagy a Defender portálon, hogy meggyőződjön arról, hogy állapot- és naplózási adatokat kap.

Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Naplók lehetőséget.
A Defender portálOn a Microsoft Sentinel esetében a Vizsgálat > válasz alatt válassza a Speciális vadászat vadászata>lehetőséget.
Lekérdezés futtatása a SentinelHealth táblában. Példa:
```
_SentinelHealth()
 | take 20
```
Lekérdezés futtatása a SentinelAudit táblában . Példa:
```
_SentinelAudit()
 | take 20
```

Támogatott adattáblák és erőforrástípusok

Ha a funkció be van kapcsolva, a SentinelHealth és a SentinelAudit adattáblák a kijelölt erőforrásokhoz létrehozott első eseménynél jönnek létre.

A Microsoft Sentinel állapotmonitorozása jelenleg a következő típusú erőforrásokat támogatja:

Elemzési szabályok
Adatösszekötők
Automatizálási szabályok
Forgatókönyvek (Azure Logic Apps-munkafolyamatok)

Feljegyzés

A forgatókönyvek állapotának monitorozása során mindenképpen gyűjtse össze az Azure Logic Apps diagnosztikai eseményeit a forgatókönyvekből, hogy teljes képet kapjon a forgatókönyv-tevékenységéről. További információ: Az automatizálási szabályok és forgatókönyvek állapotának figyelése.

A naplózáshoz jelenleg csak az elemzési szabály erőforrástípusa támogatott.

Következő lépések

További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
Az adatösszekötők állapotának monitorozása.
Az elemzési szabályok állapotának és integritásának monitorozása.

Megosztás a következőn keresztül: