Megosztás a következőn keresztül:


Naplózás és állapotfigyelés a Microsoft Sentinelben

A Microsoft Sentinel kritikus fontosságú szolgáltatás a szervezet technológiai és információs eszközeinek biztonságának előmozdításához és védelméhez, ezért biztos szeretne lenni abban, hogy az mindig zökkenőmentesen és beavatkozásmentesen fut.

Ellenőrizni szeretné, hogy a szolgáltatás számos mozgó alkatrésze mindig a kívánt módon működik-e, és nem manipulálják-e jogosulatlan műveletekkel, akár belső felhasználók, akár más módon. Emellett érdemes lehet konfigurálni az állapoteltérésekről vagy a jogosulatlan műveletekről küldött értesítéseket az érintett érdekelt feleknek, akik válaszolhatnak vagy jóváhagyhatnak egy választ. Beállíthat például feltételeket az e-mailek vagy a Microsoft Teams-üzenetek operatív csapatoknak, vezetőknek vagy tisztviselőknek való küldéséhez, új jegyek indításához a jegyrendszerben stb.

Ez a cikk azt ismerteti, hogy a Microsoft Sentinel állapotmonitorozási és naplózási funkcióival hogyan figyelheti a szolgáltatás egyes fő erőforrásainak tevékenységét, és hogyan vizsgálhatja meg a szolgáltatáson belüli felhasználói műveletek naplóit.

Adattárolás állapotának és naplózásának ellenőrzése

Az állapot- és naplózási adatok két táblában vannak összegyűjtve a Log Analytics-munkaterületen: a SentinelHealth és a SentinelAudit

A rendszer a SentinelAudit táblában gyűjti a naplózási adatokat.

Az állapotadatok a SentinelHealth táblában vannak összegyűjtve, amely rögzíti azokat az eseményeket, amelyek az automatizálási szabály minden futtatásakor rögzítve vannak, és a futtatások végeredménye. A SentinelHealth tábla a következőket tartalmazza:

  • A szabályban indított műveletek sikeresek vagy sikertelenek-e, és a szabály által meghívott forgatókönyvek.
  • Forgatókönyvek igény szerinti (manuális vagy API-alapú) aktiválását rögzítő események, beleértve az őket kiváltó identitásokat és a futtatások végeredményét

A SentinelHealth tábla nem tartalmazza a forgatókönyv tartalmának végrehajtására vonatkozó rekordot, csak azt, hogy a forgatókönyv sikeresen elindult-e. Az AzureDiagnostics táblában a forgatókönyvben végrehajtott műveletek naplója, amely Logic Apps-munkafolyamatok. Az AzureDiagnostics teljes képet nyújt az automatizálás állapotáról, ha a SentinelHealth-adatokkal együtt használják.

Az adatok használatának leggyakoribb módja ezeknek a tábláknak a lekérdezése. A legjobb eredmény érdekében a lekérdezéseket a táblák előre összeállított függvényeire, _SentinelHealth() és _SentinelAudit() ahelyett, hogy közvetlenül kérdezi le a táblákat. Ezek a függvények biztosítják a lekérdezések visszamenőleges kompatibilitásának fenntartását a táblák sémájában végzett módosítások esetén.

A SentinelHealth tábla nem számlázható, és az állapotadatok betöltése nem jár díjjal. A SentinelAudit tábla számlázható, és a Microsoft Sentinel más területeihez hasonlóan a felmerülő költségek a naplómennyiségtől függenek, amelyet érinthet a kapcsolódó szabályokon végzett tevékenységek és módosítások száma. További információ: Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése.

Fontos

A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A szolgáltatás állapotának ellenőrzésére és az adatok naplózására vonatkozó kérdések

Az alábbi kérdések segítségével nyomon követheti a Microsoft Sentinel állapot- és auditadatait:

Megfelelően fut az adatösszekötő?

Az adatösszekötő fogad adatokat? Ha például arra utasította a Microsoft Sentinelt, hogy 5 percenként futtasson egy lekérdezést, ellenőrizze, hogy a lekérdezés végrehajtása folyamatban van-e, hogyan működik, és hogy vannak-e a lekérdezéssel kapcsolatos kockázatok vagy biztonsági rések.

A várt módon futott egy automatizálási szabály?

Az automatizálási szabály akkor futott, amikor kellett volna– vagyis amikor teljesültek a feltételei? Sikeresen lefutott az automatizálási szabály összes művelete?

Az elemzési szabály a várt módon futott?

Az elemzési szabály akkor futott, amikor kellett volna, és eredményeket hozott létre? Ha azt szeretné, hogy bizonyos incidensek jelenjenek meg az üzenetsorban, de nem, tudni szeretné, hogy a szabály futott-e, de nem talált-e semmit (vagy elég dolgot), vagy egyáltalán nem futott.

Jogosulatlan módosításokat hajtottak végre egy elemzési szabályon?

Változott valami a szabályban? Nem az elemzési szabálytól várt eredményeket kapja, és nem voltak állapotproblémái. Látni szeretné, hogy történt-e nem tervezett módosítás a szabályon, és ha igen, milyen módosításokat hajtottak végre, ki, honnan és mikor.

Állapot- és auditfigyelési folyamat

Az állapot- és naplózási adatok gyűjtésének megkezdéséhez engedélyeznie kell az állapot- és naplózásfigyelést a Microsoft Sentinel beállításai között. Ezután megismerheti a Microsoft Sentinel által gyűjtött állapotadatokat és naplózási adatokat:

Tevékenység További információ
Lekérdezések futtatása a SentinelHealth és a SentinelAudit adattáblákon a Microsoft Sentinel Naplók lapján.
  • Adatösszekötők
  • Automatizálási szabályok és forgatókönyvek (csatlakozás lekérdezés az Azure Logic Apps diagnosztikával)
  • Elemzési szabályok
  • Használja a Microsoft Sentinelben megadott naplózási és állapotfigyelő munkafüzeteket .
  • Adatösszekötők
  • Automatizálási szabályok és forgatókönyvek
  • Elemzési szabályok
  • A Microsoft Sentinel végrehajtási felügyeleti eszközeinek használata az ütemezett elemzési szabályok végrehajtásának figyeléséhez és optimalizálásához
  • Ütemezett elemzési szabályok végrehajtásának monitorozása és optimalizálása
  • Exportálja az adatokat különböző célhelyekre, például a Log Analytics-munkaterületre, a tárfiókba való archiválásba stb.
  • Diagnosztikai beállítások az Azure Monitorban