Az adatösszekötők állapotának monitorozása

A Microsoft Sentinel szolgáltatás teljes és zavartalan adatbetöltésének biztosítása érdekében kövesse nyomon az adatösszekötők állapotát, kapcsolatát és teljesítményét.

A következő funkciókkal elvégezheti ezt a monitorozást a Microsoft Sentinelen belül:

• Adatgyűjtés állapotfigyelő munkafüzete: Ez a munkafüzet további monitorokat biztosít, észleli az anomáliákat, és betekintést nyújt a munkaterület adatbetöltési állapotára. A munkafüzet logikájával figyelheti a betöltött adatok általános állapotát, valamint egyéni nézeteket és szabályalapú riasztásokat hozhat létre.

• SentinelHealth adattábla (előzetes verzió): A tábla lekérdezése betekintést nyújt az állapoteltérésekbe, például a legutóbbi hibaeseményekre összekötőnként, vagy olyan összekötőkre, amelyek sikerről hibaállapotra változnak, és amelyekkel riasztásokat és egyéb automatizált műveleteket hozhat létre. A SentinelHealth adattáblát jelenleg csak a kijelölt adatösszekötők támogatják.

  Fontos

  A SentinelHealth adattábla jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

• Tekintse meg a csatlakoztatott SAP-rendszerek állapotát és állapotát: Tekintse át az SAP-rendszerek állapotadatait az SAP-adatösszekötő alatt, és használjon riasztási szabálysablont az SAP-ügynök adatgyűjtésének állapotával kapcsolatos információk lekéréséhez.

Az állapotfigyelő munkafüzet használata

Első lépésként telepítse az adatgyűjtés állapotfigyelő munkafüzetét a Tartalomközpontból , és tekintse meg vagy hozza létre a sablon másolatát a Microsoft Sentinel Munkafüzetek szakaszából.

1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

2. A Tartalomközpontban adja meg az állapotot a keresősávon, és válassza ki az adatgyűjtés állapotfigyelését az eredmények közül.

3. Válassza a Telepítés lehetőséget a részletek panelen. Amikor megjelenik egy értesítés arról, hogy a munkafüzet telepítve van, vagy ha a Telepítés helyett a Konfiguráció elemet látja, folytassa a következő lépéssel.

4. A Microsoft Sentinel Fenyegetéskezelés területén válassza a Munkafüzetek lehetőséget.

5. A Munkafüzetek lapon válassza a Sablonok lapot, írja be az állapotot a keresősávba, és válassza az Adatgyűjtés állapotfigyelése lehetőséget az eredmények közül.

6. Válassza a Sablon megtekintése lehetőséget a munkafüzet adott állapotában történő használatához, vagy válassza a Mentés elemet a munkafüzet szerkeszthető másolatának létrehozásához. A másolat létrehozása után válassza a Mentett munkafüzet megtekintése lehetőséget.

7. A munkafüzetben először válassza ki a megtekinteni kívánt előfizetést és munkaterületet , majd adja meg a TimeRange-ot az adatok igényei szerinti szűréséhez. A Súgó megjelenítése váltógombbal megjelenítheti a munkafüzet helybeni magyarázatát.

   

A munkafüzet három lapozott szakaszt tartalmaz:

• Az Áttekintés lapon az adatbetöltés általános állapota látható a kiválasztott munkaterületen: mennyiségi mértékek, EPS-díjak és a legutóbbi napló beérkezésének időpontja.

• Az Adatgyűjtés anomáliák lapja segít az adatgyűjtési folyamat rendellenességeinek észlelésében tábla és adatforrás szerint. Minden lap egy adott táblázat anomáliáit mutatja be (az Általános lap táblázatgyűjteményt tartalmaz). Az anomáliákat a rendszer az anomáliapontot visszaadó series_decompose_anomalies() függvénnyel számítja ki. További információk erről a függvényről. A függvény kiértékeléséhez állítsa be a következő paramétereket:

  • AnomáliákTimeRange: Ez az időválasztó csak az adatgyűjtési anomáliák nézetére vonatkozik.

  • SampleInterval: Az az időintervallum, amelyben az adatok mintavétele az adott időtartományban történik. Az anomália-pontszám kiszámítása csak az utolsó intervallum adataira vonatkozóan történik.

  • PositiveAlertThreshold: Ez az érték határozza meg a pozitív anomáliadecimális pontszám küszöbértékét. Decimális értékeket fogad el.

  • NegativeAlertThreshold: Ez az érték határozza meg a negatív anomáliadecimális pontszám küszöbértékét. Decimális értékeket fogad el.

    

• Az Ügynökadatok lap a különböző gépeken telepített ügynökök állapotával kapcsolatos információkat jeleníti meg, legyen szó Azure-beli virtuális gépről, más felhőbeli virtuális gépről, helyszíni virtuális gépről vagy fizikairól. Figyelheti a rendszer helyét, a szívverés állapotát és késését, a rendelkezésre álló memóriát és lemezterületet, valamint az ügynökműveleteket.

  Ebben a szakaszban ki kell választania a gépek környezetét leíró lapot: válassza az Azure által felügyelt gépek lapot, ha csak az Azure Arc által felügyelt gépeket szeretné megtekinteni; a Minden gép fület választva megtekintheti a felügyelt és a nem Azure-beli gépeket is az Azure Monitor-ügynök telepítettével.

  

A SentinelHealth adattábla használata (nyilvános előzetes verzió)

Az adatösszekötő állapotadatainak a SentinelHealth adattáblából való lekéréséhez először be kell kapcsolnia a Microsoft Sentinel állapotfunkcióját a munkaterületen. További információ: A Microsoft Sentinel állapotmonitorozásának bekapcsolása.

Az állapotfunkció bekapcsolása után a SentinelHealth adattábla az adatösszekötőkhöz létrehozott első sikeres vagy sikertelen eseménynél jön létre.

Támogatott adatösszekötők

A SentinelHealth adattáblát jelenleg csak a következő adatösszekötők támogatják:

• Amazon Web Services (CloudTrail és S3)
• Dynamics 365
• Office 365
• Végponthoz készült Microsoft Defender
• Fenyegetésfelderítés – TAXII
• Fenyegetésfelderítési platformok
• Bármely, kód nélküli összekötőplatformon alapuló összekötő

A SentinelHealth táblaeseményeinek ismertetése

A SentinelHealth táblában a következő típusú állapotesemények vannak naplózva:

• Az adatbeolvasás állapota megváltozik. Óránként egyszer naplózva, amíg az adatösszekötő állapota stabil marad, folyamatos sikeres vagy sikertelen események esetén. Amíg az adatösszekötő állapota nem változik, a monitorozás csak óránként működik a redundáns naplózás megakadályozása és a táblaméret csökkentése érdekében. Ha az adatösszekötő állapota folyamatos hibákkal rendelkezik, a hibákra vonatkozó további részleteket a ExtendedProperties oszlop tartalmazza.

  Ha az adatösszekötő állapota a sikerességtől a sikertelenségig, a sikertelenségtől a sikerességig vagy a hiba okán megváltozik, a rendszer azonnal naplózza az eseményt, hogy a csapat proaktív és azonnali lépéseket tegyen.

  Az átmeneti hibák, például a forrásszolgáltatás szabályozása, csak akkor lesznek naplózva, ha több mint 60 percig folytatták. Ez a 60 perc lehetővé teszi, hogy a Microsoft Sentinel megoldjon egy átmeneti problémát a háttérrendszerben, és felhasználói beavatkozás nélkül utolérje az adatokat. A nem átmeneti hibákat a rendszer azonnal naplózza.

• Hiba összefoglalása. Óránként egyszer naplózva, összekötőnként, munkaterületenként, összesített hibaösszesítéssel. A hibaösszegző események csak akkor jönnek létre, ha az összekötő lekérdezési hibákat észlelt az adott órában. Ezek tartalmazzák az ExtendedProperties oszlopban megadott további részleteket, például azt az időszakot, amelyre az összekötő forrásplatformját lekérdezték, valamint az időszak során előforduló hibák különböző listáját.

További információ: SentinelHealth táblaoszlopok sémája.

Lekérdezések futtatása az állapoteltolódások észleléséhez

Lekérdezések létrehozása a SentinelHealth táblában az adatösszekötők állapotbeli eltéréseinek észleléséhez. Példa:

A legutóbbi hibaesemények észlelése összekötőnként:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Összekötők észlelése sikertelenről sikeres állapotúra módosuló összekötőkkel:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Az összekötők észlelése a sikerességről a feladatállapotra való módosításokkal:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

• let utasítás
• ahol operátor
• projekt operátor
• összesítő operátor
• illesztés operátor
• ago() függvény
• arg_max() aggregációs függvény

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások:

• KQL – rövid áttekintés
• Kusto lekérdezésnyelv tanulási erőforrások

Riasztások és automatikus műveletek konfigurálása állapotproblémák esetén

Bár a Microsoft Sentinel elemzési szabályaival konfigurálhatja az automatizálást a Microsoft Sentinel-naplókban, ha értesítést szeretne kapni, és azonnali lépéseket szeretne tenni az adatösszekötők állapotbeli eltérései miatt, javasoljuk, hogy az Azure Monitor riasztási szabályait használja.

Példa:

1. Egy Azure Monitor-riasztási szabályban válassza ki a Microsoft Sentinel-munkaterületet a szabály hatóköreként, az egyéni naplókeresést pedig első feltételként.

2. Szükség szerint testre szabhatja a riasztási logikát, például a gyakoriságot vagy a visszatekintés időtartamát, majd lekérdezésekkel megkeresheti az állapoteltéréseket.

3. A szabályműveletek esetében válasszon ki egy meglévő műveletcsoportot, vagy szükség szerint hozzon létre egy újat a leküldéses értesítések vagy más automatizált műveletek konfigurálásához, például logikai alkalmazás, webhook vagy Azure-függvény aktiválásához a rendszerben.

További információ: Azure Monitor-riasztások áttekintése és Azure Monitor-riasztások naplója.

Következő lépések

• További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
• Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
• Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
• Az elemzési szabályok állapotának és integritásának monitorozása.
• További információ a SentinelHealth és a SentinelAudit táblasémákról.