Megosztás a következőn keresztül:

Az állapot monitorozása és az elemzési szabályok integritásának naplózása

  • Cikk

A Microsoft Sentinel szolgáltatásban az átfogó, zavartalan és illetéktelen fenyegetésészlelés biztosítása érdekében nyomon követheti az elemzési szabályok állapotát és integritását, és optimálisan kezelheti őket, figyelheti a végrehajtási megállapításokat, lekérdezheti az állapot- és naplózási naplókat, és manuális újrafuttatással tesztelheti és optimalizálhatja a szabályokat.

Értesítéseket állíthat be az állapot- és naplózási eseményekről az érintett érdekelt felek számára, akik ezután lépéseket tehetnek. Definiálhat és küldhet például e-maileket vagy Microsoft Teams-üzeneteket, új jegyeket hozhat létre a jegykezelő rendszerben stb.

Ez a cikk azt ismerteti, hogyan használhatja a Microsoft Sentinel naplózási és állapotmonitorozási funkcióit az elemzési szabályok állapotának és integritásának nyomon követésére a Microsoft Sentinelben.

A szabályelemzésekről és a szabályok manuális újrafuttatásáról további információt az ütemezett elemzési szabályok végrehajtásának figyelése és optimalizálása című témakörben talál.

Fontos

A SentinelHealth és a SentinelAudit adattáblák jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Összegzés

  • A Microsoft Sentinel elemzési szabály állapotnaplói:

    • Ez a napló rögzíti az elemzési szabályok futtatását és a futtatások eredményét rögzítő eseményeket – ha sikeresek vagy sikertelenek, és ha sikertelenek, akkor miért.
    • A napló egy elemzési szabály minden egyes futtatásához rögzíti a következő rekordokat:
      • A szabály lekérdezése hány eseményt rögzített.
      • Azt jelzi, hogy az események száma túllépte-e a szabályban meghatározott küszöbértéket, és a szabály riasztást váltott-e ki.

    Ezeket a naplókat a Rendszer a Log Analytics SentinelHealth táblájában gyűjti össze.

  • A Microsoft Sentinel elemzési szabály naplózási naplói:

    • Ez a napló rögzíti azokat az eseményeket, amelyek rögzítik az elemzési szabályok módosításait, beleértve az alábbi részleteket:
      • A módosított szabály neve.
      • A szabály mely tulajdonságai módosultak.
      • A szabálybeállítások állapota a módosítás előtt és után.
      • A módosítást végző felhasználó vagy identitás.
      • A változás forrás IP-címe és dátuma/ideje.
      • ... és így tovább.

    Ezeket a naplókat a Rendszer a Log Analytics SentinelAudit táblájában gyűjti össze.

A SentinelHealth és a SentinelAudit adattáblák használata (előzetes verzió)

Ha a fent leírt táblákból szeretne naplózási és állapotadatokat lekérni, először be kell kapcsolnia a Microsoft Sentinel állapotfunkcióját a munkaterületen. További információ: A Microsoft Sentinel naplózásának és állapotfigyelésének bekapcsolása.

Az állapotfunkció bekapcsolása után a SentinelHealth adattábla az automatizálási szabályokhoz és forgatókönyvekhez létrehozott első sikeres vagy sikertelen eseménynél jön létre.

A SentinelHealth és a SentinelAudit táblaesemények ismertetése

Az elemzési szabály állapoteseményeinek következő típusait naplózza a SentinelHealth tábla:

Az elemzési szabály naplózási eseményeinek következő típusait naplózza a SentinelAudit tábla:

Lekérdezések futtatása az állapot- és integritási problémák észleléséhez

A legjobb eredmény érdekében a lekérdezéseket a táblák előre összeállított függvényeire kell építenie, _SentinelHealth() és _SentinelAudit() a táblák közvetlen lekérdezése helyett. Ezek a függvények biztosítják a lekérdezések visszamenőleges kompatibilitásának fenntartását a táblák sémájában végzett módosítások esetén.

Első lépésként a lekérdezések szűrjék a táblákat az elemzési szabályokkal kapcsolatos adatokra. Használja a paramétert SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Ha szeretné, tovább szűrheti a listát egy adott elemzési szabályra. Ehhez használja a SentinelResourceKind paramétert.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Az alábbiakban néhány minta lekérdezést talál, amelyek segítenek az első lépésekben:

  • Olyan szabályok keresése, amelyek nem futottak sikeresen:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Az "automatikusan letiltott" szabályok keresése:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Megszámolja a sikeres vagy sikertelen szabályokat és futtatásokat az ok alapján:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Szabálytörlési tevékenység megkeresése:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • A szabályokon végzett tevékenység megkeresése szabálynév és tevékenységnév szerint:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • A szabályokon végzett tevékenység megkeresése hívónév alapján (a tevékenységet végrehajtó identitás):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások:

Állapotok, hibák és javasolt lépések

Ütemezett elemzési szabály futtatása vagy NRT-elemzési szabály futtatása esetén az alábbi állapotok és leírások bármelyike jelenhet meg:

  • Sikeres: A szabály sikeresen végrehajtva, riasztás(ok) generálása <n> .

  • Sikeres: A szabály sikeresen végrehajtotta, de nem érte el a riasztás létrehozásához szükséges küszöbértéket (<n>).

  • Hiba: Ezek a szabályhibák lehetséges leírásai, és hogy mit tehet velük.

    Leírás Szervizelés
    Belső kiszolgálóhiba történt a lekérdezés futtatása közben.
    A lekérdezés végrehajtása időtúllépést eredményezett.
    A lekérdezésben hivatkozott tábla nem található. Ellenőrizze, hogy a megfelelő adatforrás csatlakoztatva van-e.
    Szemantikai hiba történt a lekérdezés futtatása közben. Próbálja meg visszaállítani az elemzési szabályt szerkesztéssel és mentéssel (a beállítások módosítása nélkül).
    A lekérdezés által hívott függvény neve fenntartott szó. Távolítsa el vagy nevezze át a függvényt.
    Szintaxishiba történt a lekérdezés futtatása közben. Próbálja meg visszaállítani az elemzési szabályt szerkesztéssel és mentéssel (a beállítások módosítása nélkül).
    A munkaterület nem létezik.
    Ez a lekérdezés túl sok rendszererőforrást használt, és nem futott. Tekintse át és hangolja be az elemzési szabályt. Tekintse meg Kusto lekérdezésnyelv áttekintését és ajánlott eljárásokat ismertető dokumentációját.
    A lekérdezés által hívott függvény nem található. Ellenőrizze, hogy létezik-e a munkaterületen a lekérdezés által hívott összes függvény.
    A lekérdezésben használt munkaterület nem található. Ellenőrizze, hogy a lekérdezés összes munkaterülete létezik-e.
    Nincs engedélye a lekérdezés futtatására. Próbálja meg visszaállítani az elemzési szabályt szerkesztéssel és mentéssel (a beállítások módosítása nélkül).
    Nem rendelkezik hozzáférési engedélyekkel a lekérdezés egy vagy több erőforrásához.
    A lekérdezés olyan tárolási útvonalra hivatkozott, amely nem található.
    A lekérdezés hozzáférése megtagadva egy tárolási útvonalhoz.
    Ezen a munkaterületen több azonos nevű függvény van definiálva. Távolítsa el vagy nevezze át a redundáns függvényt, majd szerkesztéssel és mentéssel állítsa alaphelyzetbe a szabályt.
    Ez a lekérdezés nem adott eredményül.
    Ebben a lekérdezésben több eredményhalmaz nem engedélyezett.
    A lekérdezés eredményei soronként inkonzisztens számú mezőt tartalmaznak.
    A szabály futása a hosszú adatbetöltési idő miatt késett.
    A szabály futása ideiglenes problémák miatt késett.
    A riasztás ideiglenes problémák miatt nem lett kibővítve.
    A riasztás nem lett kibővítve entitásleképezési problémák miatt.
    < a 32 KB-os riasztásméretkorlát miatt a számentitások> el lettek dobva a riasztás< nevében>.
    < az entitásleképezési problémák miatt a számentitások> el lettek dobva a riasztás< nevére>.
    A lekérdezés számeseményeket eredményezett<, amelyek túllépték a riasztások soronkénti eseménycsoportozási konfigurációval rendelkező szabálytípus-szabályokhoz> megengedett< korlátot.<>> A rendszer soronkénti riasztást hozott létre az első <1>. korlátos eseményekhez, és egy további összesített riasztás lett létrehozva az összes esemény figyelembe vételéhez.
    - <szám> = a lekérdezés által visszaadott események száma
    - <limit> = jelenleg 150 riasztás ütemezett szabályokhoz, 30 NRT-szabályokhoz
    - <szabály típusa> = Ütemezett vagy NRT

A naplózási és állapotmonitorozási munkafüzet használata

  1. Ha elérhetővé szeretné tenni a munkafüzetet a munkaterületen, telepítenie kell a munkafüzetmegoldást a Microsoft Sentinel tartalomközpontból:

    1. A Microsoft Sentinel portálon válassza a Tartalomkezelő menü Tartalomközpont (előzetes verzió) elemét.

    2. A Tartalomközpontban adja meg az állapotot a keresősávon, és válassza az Elemzési állapot > Naplózás lehetőséget az önálló munkafüzetmegoldásokközül az eredmények között.

      Képernyőkép a tartalomközpont elemzési állapotfüzetének kiválasztásáról.

    3. Válassza a Telepítés lehetőséget a részletek panelen, majd válassza a Helyén megjelenő Mentés lehetőséget.

  2. Ha a megoldás azt jelzi, hogy telepítve van, válassza a Munkafüzetek lehetőséget a Fenyegetéskezelés menüben.

    Képernyőkép arról, hogy az elemzési állapotfüzet-megoldás telepítve van a tartalomközpontból.

  3. A Munkafüzetek gyűjteményben válassza a Sablonok lapot, írja be az állapotot a keresősávba, és válassza az Elemzés állapota > Naplózás lehetőséget az eredmények közül.

    Képernyőkép az elemzési állapot munkafüzetének sablongyűjteményből való kiválasztásáról.

  4. Válassza a Mentés a részletek panelen a munkafüzet szerkeszthető és használható másolatának létrehozásához. A másolat létrehozása után válassza a Mentett munkafüzet megtekintése lehetőséget.

  5. A munkafüzetben először válassza ki a megtekinteni kívánt előfizetést és munkaterületet (lehet, hogy már ki van jelölve), majd adja meg a TimeRange-ot az adatok igényei szerinti szűréséhez. A Súgó megjelenítése váltógombbal megjelenítheti a munkafüzet helybeni magyarázatát.

    Képernyőkép az elemzési szabály állapotfüzetének áttekintési lapjára.

A munkafüzet három lapozott szakaszt tartalmaz:

Áttekintés lap

Az Áttekintés lapon az állapot- és naplózási összefoglalók láthatók:

  • A kijelölt munkaterületen futó elemzési szabály állapotának állapot-összefoglalói: a futtatások száma, a sikerek és a hibák, valamint a hibaesemények részletei.
  • A kiválasztott munkaterületen az elemzési szabályokkal kapcsolatos tevékenységek összegzésének naplózása: az időalapú tevékenységek száma, a tevékenységek száma típus szerint és a különböző típusú tevékenységek száma szabály szerint.

Állapot lap

Az Állapot lapon részletezheti az adott állapoteseményeket.

Képernyőkép az Állapot lap kiválasztásáról az elemzési állapotfüzetben.

  • Szűrje a teljes oldal adatait állapot (sikeres/sikertelen) és szabálytípus (ütemezett/NRT) szerint.
  • Tekintse meg a sikeres és/vagy sikertelen szabályfuttatások trendjeit (az állapotszűrőtől függően) a kiválasztott időszakban. Az eredeti időtartomány egy részhalmazának megtekintéséhez "időkefével" jelenítheti meg a trendgráfot. Képernyőkép az elemzési szabály időről időre történő futtatásáról az elemzési állapot-munkafüzetben.
  • A lap többi részének szűrése ok alapján.
  • Tekintse meg az összes elemzési szabály futásainak teljes számát, arányosan megjelenítve egy kördiagram állapotával.
  • Az alábbi táblázat a futtatott egyedi elemzési szabályok számát mutatja, szabálytípus és állapot szerinti bontásban.
    • Válasszon ki egy állapotot az állapot többi diagramjának szűréséhez.
    • Törölje a szűrőt a diagram jobb felső sarkában található "Kijelölés törlése" ikon (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép az állapot és típus szerint futtatott szabályok számáról az elemzési állapot-munkafüzetben.
  • Tekintse meg az egyes állapotokat az állapot lehetséges okainak számával. (Csak a megadott időkeretben szereplő futtatásokban szereplő okok jelennek meg.)
    • Válasszon ki egy állapotot az állapot többi diagramjának szűréséhez.
    • Törölje a szűrőt a diagram jobb felső sarkában található "Kijelölés törlése" ikon (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép az elemzés állapot-munkafüzetében található egyedi okok számáról.
  • Ezután tekintse meg az okok listáját, a teljes szabályfuttatások számát és a futtatott egyedi szabályok számát.
    • Jelöljön ki egy okot a következő diagramok szűréséhez.
    • Törölje a szűrőt a diagram jobb felső sarkában található "Kijelölés törlése" ikon (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép a szabály futtatásáról egyedi ok alapján az elemzési állapot munkafüzetében.
  • Ezután megjelenik a futtatott egyedi elemzési szabályok listája, amelyek a legújabb eredményeket és trendvonalakat tartalmaznak a sikeres és/vagy sikertelen működésükhöz (a lista szűréséhez kiválasztott állapottól függően).
    • Válasszon ki egy szabályt a lehatoláshoz, és jelenítsen meg egy új táblát a szabály összes futásával (a kijelölt időkeretben).
    • Törölje a táblázatot a diagram jobb felső sarkában található "Kijelölés törlése" ikonra (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép az elemzés állapot-munkafüzetében futtatott egyedi szabályok listájáról, állapottal és trendvonalakkal.
  • Ha kiválasztott egy szabályt a fenti listában, megjelenik egy új tábla a kijelölt szabály állapotadataival. Képernyőkép a kiválasztott elemzési szabály futtatásának listájáról az elemzési állapot munkafüzetében.

Naplózás lap

A Naplózás lapon részletezheti az egyes naplózási eseményeket.

Képernyőkép az elemzési állapot munkafüzet naplózási lapjának kiválasztásáról.

  • A teljes oldal adatainak szűrése naplózási szabálytípus szerint (ütemezett/fúziós).
  • Tekintse meg az elemzési szabályok naplózási tevékenységeinek trendjeit a kiválasztott időszakban. Az eredeti időtartomány egy részhalmazának megtekintéséhez "időkefével" jelenítheti meg a trendgráfot. Képernyőkép a trendi naplózási tevékenységről az elemzési állapot-munkafüzetben.
  • Tekintse meg a naplózott események számát tevékenység és szabálytípus szerinti bontásban.
    • Válasszon ki egy tevékenységet a tevékenységhez tartozó alábbi diagramok szűréséhez.
    • Törölje a szűrőt a diagram jobb felső sarkában található "Kijelölés törlése" ikon (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép a naplózási események tevékenység és típus szerinti számáról az elemzési állapot munkafüzetében.
  • Tekintse meg a naplózott események számát szabálynév alapján.
    • Válasszon ki egy szabálynevet a szabály következő táblázatának szűréséhez, valamint egy új tábla lehatolásához és megjelenítéséhez a szabály összes tevékenységével (a kijelölt időkeretben). (Lásd a következő képernyőkép után.)
    • Törölje a szűrőt a diagram jobb felső sarkában található "Kijelölés törlése" ikon (úgy néz ki, mint egy "Visszavonás" ikon). Képernyőkép a naplózott eseményekről szabálynév és hívó szerint az elemzési állapot munkafüzetében.
  • Tekintse meg a hívó által naplózott események számát (a tevékenységet végrehajtó identitást).
  • Ha a fenti diagramon kiválasztott egy szabálynevet, egy másik táblázat jelenik meg, amelyen az adott szabály naplózott tevékenységei láthatók. Válassza ki az ExtendedProperties oszlopban hivatkozásként megjelenő értéket egy oldalpanel megnyitásához, amely megjeleníti a szabály módosításait. Képernyőkép a kijelölt szabály naplózási tevékenységéről az Elemzési állapot munkafüzetben.

Következő lépések