Az automatizálási szabályok és playbookok állapotának felügyelete
A Microsoft Sentinel szolgáltatásban végzett biztonsági vezénylési, automatizálási és válaszműveletek megfelelő működésének és teljesítményének biztosítása érdekében a végrehajtási naplók monitorozásával nyomon követheti az automatizálási szabályok és forgatókönyvek állapotát.
Értesítéseket állíthat be az állapoteseményekről az érintett érdekelt felek számára, akik ezután lépéseket tehetnek. Definiálhat és küldhet például e-maileket vagy Microsoft Teams-üzeneteket, új jegyeket hozhat létre a jegykezelő rendszerben stb.
Ez a cikk bemutatja, hogyan használhatja a Microsoft Sentinel állapotmonitorozási funkcióit az automatizálási szabályok és forgatókönyvek állapotának nyomon követésére a Microsoft Sentinelben. További információ: Naplózás és állapotfigyelés a Microsoft Sentinelben.
A SentinelHealth adattábla használata (nyilvános előzetes verzió)
Ha a SentinelHealth adattáblából szeretne automatizálási állapotadatokat lekérni, először kapcsolja be a Microsoft Sentinel állapotfunkcióját a munkaterületen. További információ: A Microsoft Sentinel állapotmonitorozásának bekapcsolása.
Az állapotfunkció bekapcsolása után a SentinelHealth adattábla az automatizálási szabályokhoz és forgatókönyvekhez létrehozott első sikeres vagy sikertelen eseménynél jön létre.
A SentinelHealth táblaeseményeinek ismertetése
A SentinelHealth táblában a következő típusú automatizálási állapotesemények vannak naplózva:
Automation-szabály fut. Naplózza, amikor egy automatizálási szabály feltételei teljesülnek, és ez azt eredményezi, hogy fut. Az alapvető SentinelHealth tábla mezői mellett ezek az események az automatizálási szabályok futtatására egyedi kiterjesztett tulajdonságokat is tartalmaznak, beleértve a szabály által hívott forgatókönyvek listáját is. A következő minta lekérdezés a következő eseményeket jeleníti meg:
SentinelHealth | where OperationName == "Automation rule run"
A forgatókönyv aktiválódott. Naplózva, amikor egy forgatókönyv manuálisan aktiválódik egy incidensen a portálról vagy az API-n keresztül. Az alapszintű SentinelHealth tábla mezői mellett ezek az események a forgatókönyvek manuális aktiválására jellemző kiterjesztett tulajdonságokat is magukban foglalják. A következő minta lekérdezés a következő eseményeket jeleníti meg:
SentinelHealth | where OperationName == "Playbook was triggered"
További információ: SentinelHealth táblaoszlopok sémája.
Állapotok, hibák és javasolt lépések
Az Automation-szabály futtatási állapota esetén a következő állapotok jelenhetnek meg:
Siker: a szabály sikeresen végrehajtódott, és minden műveletet elindított.
Részleges siker: a szabály végrehajtásra került és legalább egy műveletet elindított, de néhány művelet sikertelen volt.
Hiba: az automatizálási szabály nem hajtott végre semmilyen műveletet az alábbi okok valamelyike miatt:
- A feltételek értékelése nem sikerült.
- A feltételek teljesültek, de az első művelet sikertelen volt.
A Playbook aktiválva állapot esetében a következő állapotokat láthatja:
Siker: a playbook sikeresen elindult.
Hiba: a playbookot nem sikerült elindítani.
Feljegyzés
A siker csak azt jelenti, hogy az automatizálási szabály sikeresen aktivált egy forgatókönyvet. Nem mondja meg, hogy mikor kezdődött és mikor ért véget a játékfüzet, a játékfüzetben szereplő műveletek eredményeit vagy a játékfüzet végeredményét.
Ezen információk megtalálásához kérdezze le a Logic Apps diagnosztikai naplóit. További információért lásd: A teljes automatizálási kép.
Hibaleírások és javasolt műveletek
Hibaleírás | Javasolt műveletek |
---|---|
A tevékenység nem vehető fel: TaskName>.< Az incidens/riasztás nem található. |
Győződjön meg arról, hogy az incidens/riasztás létezik, és próbálkozzon újra. |
A tevékenység nem vehető fel: TaskName>.< Az incidens már tartalmazza a tevékenységek maximális engedélyezett számát. |
Ha ez a tevékenység szükséges, ellenőrizze, hogy vannak-e eltávolítható vagy konszolidálható tevékenységek, majd próbálkozzon újra. |
A(z) <PropertyName> tulajdonság nem módosítható. Az incidens/riasztás nem található. |
Győződjön meg arról, hogy az incidens/riasztás létezik, és próbálkozzon újra. |
A(z) <PropertyName> tulajdonság nem módosítható. Túl sok kérés, túllépve a szabályozási korlátokat. |
|
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Az incidens/riasztás nem található. |
Ha a hiba egy forgatókönyv igény szerinti aktiválásakor jelentkezett, győződjön meg arról, hogy az incidens/riasztás létezik, és próbálkozzon újra. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Vagy a forgatókönyv nem található, vagy a Microsoft Sentinel nem rendelkezik engedélyekkel. |
Szerkessze az automatizálási szabályt, keresse meg és válassza ki a forgatókönyvet az új helyén, és mentse. Győződjön meg arról, hogy a Microsoft Sentinel rendelkezik engedéllyel a forgatókönyv futtatására. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Nem támogatott eseményindítótípust tartalmaz. |
Győződjön meg arról, hogy a forgatókönyv a megfelelő Logic Apps-eseményindítóval kezdődik: Microsoft Sentinel-incidens vagy Microsoft Sentinel-riasztás. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Az előfizetés le van tiltva, és írásvédettként van megjelölve. Az előfizetés forgatókönyvei csak akkor futtathatók, ha az előfizetés újra engedélyezve van. |
Engedélyezze újra azt az Azure-előfizetést, amelyben a forgatókönyv található. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A forgatókönyv le lett tiltva. |
Engedélyezze a forgatókönyvet a Microsoft Sentinelben az Automation aktív forgatókönyvek lapján vagy a Logic Apps erőforráslapján. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Érvénytelen sablondefiníció. |
Hiba történt a forgatókönyv definíciójában. Lépjen a Logic Apps tervezőjéhez a problémák megoldásához és a forgatókönyv mentéséhez. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A hozzáférés-vezérlés konfigurálása korlátozza a Microsoft Sentinelt. |
A Logic Apps-konfigurációk lehetővé teszik a hozzáférés korlátozását a forgatókönyv aktiválásához. Ez a korlátozás a forgatókönyvre érvényes. Távolítsa el ezt a korlátozást, hogy a Microsoft Sentinel ne legyen letiltva. További információ |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A Microsoft Sentinel nem rendelkezik a futtatáshoz szükséges engedélyekkel. |
A Microsoft Sentinel engedélyekkel rendelkezik a forgatókönyvek futtatásához. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A forgatókönyv nem lett áttelepítve az új engedélymodellbe. Adjon engedélyt a Microsoft Sentinelnek a forgatókönyv futtatásához és a szabály újbóli mentéséhez. |
Adjon engedélyt a Microsoft Sentinelnek a forgatókönyv futtatásához és a szabály újbóli mentéséhez. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Túl sok kérés, túllépve a munkafolyamat szabályozásának korlátait. |
A várakozási munkafolyamat-futtatások száma túllépte az engedélyezett maximális korlátot. Próbálja meg növelni az eseményindító egyidejűségi konfigurációjának 'maximumWaitingRuns' értékét. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Túl sok kérés, túllépve a szabályozási korlátokat. |
További információ az előfizetési és bérlői korlátokról. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A hozzáférés tilos volt. A felügyelt identitás nem rendelkezik konfigurációval, vagy a Logic Apps hálózati korlátozása be van állítva. |
Ha a forgatókönyv felügyelt identitást használ, győződjön meg arról, hogy a felügyelt identitás engedélyekkel lett hozzárendelve. Előfordulhat, hogy a forgatókönyv hálózati korlátozási szabályokkal rendelkezik, amelyek megakadályozzák annak aktiválását a Microsoft Sentinel szolgáltatás letiltásakor. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Az előfizetés vagy az erőforráscsoport zárolva lett. |
Távolítsa el a zárolást, hogy a Microsoft Sentinel aktiválja a zárolt hatókörben lévő forgatókönyveket. További információ a zárolt erőforrásokról. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A hívónak hiányoznak a forgatókönyvhöz szükséges forgatókönyv-aktiválási engedélyek, vagy a Microsoft Sentinel nem rendelkezik hozzá szükséges engedélyekkel. |
A forgatókönyvet igény szerint aktiválni próbáló felhasználó nem rendelkezik Logic Apps-közreműködői szerepkörnel a forgatókönyvben, vagy aktiválni szeretné a forgatókönyvet. További információ |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< Érvénytelen hitelesítő adatok a kapcsolatban. |
Ellenőrizze a kapcsolat által használt hitelesítő adatokat az Api Connections szolgáltatásban az Azure Portalon. |
Nem sikerült aktiválni a forgatókönyvet: PlaybookName>.< A forgatókönyv ARM-azonosítója érvénytelen. |
A teljes automatizálási kép lekérése
A Microsoft Sentinel állapotmonitorozási táblázata lehetővé teszi a forgatókönyvek aktiválásának nyomon követését, de annak figyeléséhez, hogy mi történik a forgatókönyvekben és azok eredményeiben a futtatáskor, az Azure Logic Appsben a diagnosztikát is be kell kapcsolnia, hogy a következő eseményeket betöltse az AzureDiagnostics táblába:
- {Művelet neve} elindult
- {Művelet neve} befejeződött
- Munkafolyamat (forgatókönyv) elindult
- A munkafolyamat (forgatókönyv) befejeződött
Ezek a hozzáadott események további betekintést nyújtanak a forgatókönyvekben végrehajtott műveletekbe.
Az Azure Logic Apps diagnosztikának bekapcsolása
Minden olyan forgatókönyv esetében, amelyet figyelni szeretne, engedélyezze a Log Analytics használatát a logikai alkalmazáshoz. Győződjön meg arról, hogy a Küldés a Log Analytics-munkaterületre lehetőséget választja naplócélként, és válassza ki a Microsoft Sentinel-munkaterületet.
A Microsoft Sentinel és az Azure Logic Apps naplóinak korrelálása
Most, hogy rendelkezik naplókkal az automatizálási szabályokhoz, forgatókönyvekhez és naplókhoz az egyes Logic Apps-munkafolyamatokhoz a munkaterületen, korrelálhatja őket a teljes kép lekéréséhez. Fontolja meg a következő minta lekérdezést:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:
- ahol operátor
- mv-expand operátor
- operátor kiterjesztése
- illesztés operátor
- projekt operátor
- tostring() függvény
A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.
Egyéb erőforrások:
Az állapotfigyelő munkafüzet használata
Az Automation állapotfüzete segít megjeleníteni az állapotadatokat, valamint az imént említett két naplótípus közötti korrelációt. A munkafüzet a következő megjelenítéseket tartalmazza:
- Automation-szabály állapota és részletei
- Forgatókönyv-eseményindító állapota és részletei
- A forgatókönyv állapotot és részleteket futtat (a forgatókönyv szintjén engedélyezni kell az Azure Diagnostict)
- Automation-részletek incidensenként
Példa:
Válassza az Automation Rules által futtatott forgatókönyvek lapot a forgatókönyv-tevékenység megtekintéséhez.
Válasszon ki egy forgatókönyvet a futtatások listájának megtekintéséhez az alábbi részletezési diagramon.
Válasszon ki egy adott futtatási lehetőséget a forgatókönyvben szereplő műveletek eredményeinek megtekintéséhez.
Következő lépések
- További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
- Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
- Az adatösszekötők állapotának monitorozása.
- Az elemzési szabályok állapotának és integritásának monitorozása.
- További információ a SentinelHealth és a SentinelAudit táblasémákról.