Naplózás és állapotfigyelés a Microsoft Sentinelben
A Microsoft Sentinel kritikus fontosságú szolgáltatás a szervezet technológiai és információs eszközeinek biztonságának előmozdításához és védelméhez, ezért biztos szeretne lenni abban, hogy az mindig zökkenőmentesen és beavatkozásmentesen fut.
Ellenőrizni szeretné, hogy a szolgáltatás számos mozgó alkatrésze mindig a kívánt módon működik-e, és nem manipulálják-e jogosulatlan műveletekkel, akár belső felhasználók, akár más módon. Emellett érdemes lehet konfigurálni az állapoteltérésekről vagy a jogosulatlan műveletekről küldött értesítéseket az érintett érdekelt feleknek, akik válaszolhatnak vagy jóváhagyhatnak egy választ. Beállíthat például feltételeket az e-mailek vagy a Microsoft Teams-üzenetek operatív csapatoknak, vezetőknek vagy tisztviselőknek való küldéséhez, új jegyek indításához a jegyrendszerben stb.
Ez a cikk azt ismerteti, hogy a Microsoft Sentinel állapotmonitorozási és naplózási funkcióival hogyan figyelheti a szolgáltatás egyes fő erőforrásainak tevékenységét, és hogyan vizsgálhatja meg a szolgáltatáson belüli felhasználói műveletek naplóit.
Adattárolás állapotának és naplózásának ellenőrzése
Az állapot- és naplózási adatok két táblában vannak összegyűjtve a Log Analytics-munkaterületen: a SentinelHealth és a SentinelAudit
A rendszer a SentinelAudit táblában gyűjti a naplózási adatokat.
Az állapotadatok a SentinelHealth táblában vannak összegyűjtve, amely rögzíti azokat az eseményeket, amelyek az automatizálási szabály minden futtatásakor rögzítve vannak, és a futtatások végeredménye. A SentinelHealth tábla a következőket tartalmazza:
- A szabályban indított műveletek sikeresek vagy sikertelenek-e, és a szabály által meghívott forgatókönyvek.
- Forgatókönyvek igény szerinti (manuális vagy API-alapú) aktiválását rögzítő események, beleértve az őket kiváltó identitásokat és a futtatások végeredményét
A SentinelHealth tábla nem tartalmazza a forgatókönyv tartalmának végrehajtására vonatkozó rekordot, csak azt, hogy a forgatókönyv sikeresen elindult-e. Az AzureDiagnostics táblában a forgatókönyvben végrehajtott műveletek naplója, amely Logic Apps-munkafolyamatok. Az AzureDiagnostics teljes képet nyújt az automatizálás állapotáról, ha a SentinelHealth-adatokkal együtt használják.
Az adatok használatának leggyakoribb módja ezeknek a tábláknak a lekérdezése. A legjobb eredmény érdekében a lekérdezéseket a táblák előre összeállított függvényeire, _SentinelHealth() és _SentinelAudit() ahelyett, hogy közvetlenül kérdezi le a táblákat. Ezek a függvények biztosítják a lekérdezések visszamenőleges kompatibilitásának fenntartását a táblák sémájában végzett módosítások esetén.
A SentinelHealth tábla nem számlázható, és az állapotadatok betöltése nem jár díjjal. A SentinelAudit tábla számlázható, és a Microsoft Sentinel más területeihez hasonlóan a felmerülő költségek a naplómennyiségtől függenek, amelyet érinthet a kapcsolódó szabályokon végzett tevékenységek és módosítások száma. További információ: Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése.
Fontos
A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A szolgáltatás állapotának ellenőrzésére és az adatok naplózására vonatkozó kérdések
Az alábbi kérdések segítségével nyomon követheti a Microsoft Sentinel állapot- és auditadatait:
Megfelelően fut az adatösszekötő?
Az adatösszekötő fogad adatokat? Ha például arra utasította a Microsoft Sentinelt, hogy 5 percenként futtasson egy lekérdezést, ellenőrizze, hogy a lekérdezés végrehajtása folyamatban van-e, hogyan működik, és hogy vannak-e a lekérdezéssel kapcsolatos kockázatok vagy biztonsági rések.
A várt módon futott egy automatizálási szabály?
Az automatizálási szabály akkor futott, amikor kellett volna– vagyis amikor teljesültek a feltételei? Sikeresen lefutott az automatizálási szabály összes művelete?
Az elemzési szabály a várt módon futott?
Az elemzési szabály akkor futott, amikor kellett volna, és eredményeket hozott létre? Ha azt szeretné, hogy bizonyos incidensek jelenjenek meg az üzenetsorban, de nem, tudni szeretné, hogy a szabály futott-e, de nem talált-e semmit (vagy elég dolgot), vagy egyáltalán nem futott.
Jogosulatlan módosításokat hajtottak végre egy elemzési szabályon?
Változott valami a szabályban? Nem az elemzési szabálytól várt eredményeket kapja, és nem voltak állapotproblémái. Látni szeretné, hogy történt-e nem tervezett módosítás a szabályon, és ha igen, milyen módosításokat hajtottak végre, ki, honnan és mikor.
Állapot- és auditfigyelési folyamat
Az állapot- és naplózási adatok gyűjtésének megkezdéséhez engedélyeznie kell az állapot- és naplózásfigyelést a Microsoft Sentinel beállításai között. Ezután megismerheti a Microsoft Sentinel által gyűjtött állapotadatokat és naplózási adatokat:
| Tevékenység | További információ |
|---|---|
| Lekérdezések futtatása a SentinelHealth és a SentinelAudit adattáblákon a Microsoft Sentinel Naplók lapján. | |
| Használja a Microsoft Sentinelben megadott naplózási és állapotfigyelő munkafüzeteket . | |
| A Microsoft Sentinel végrehajtási felügyeleti eszközeinek használata az ütemezett elemzési szabályok végrehajtásának figyeléséhez és optimalizálásához | |
| Exportálja az adatokat különböző célhelyekre, például a Log Analytics-munkaterületre, a tárfiókba való archiválásba stb. |
Kapcsolódó tartalom
- Naplózás és állapotfigyelés bekapcsolása a Microsoft Sentinelben
- Az automatizálási szabályok és playbookok állapotának felügyelete
- Az adatösszekötők állapotának monitorozása
- Az elemzési szabályok állapotának és integritásának monitorozása
- AZ SAP-rendszer állapotának monitorozása
- A SentinelHealth és a SentinelAudit táblaséma.