Bagikan melalui


Audit dan pemantauan kesehatan di Microsoft Azure Sentinel

Microsoft Sentinel adalah layanan penting untuk memajukan dan melindungi keamanan aset teknologi dan informasi organisasi Anda, jadi Anda ingin memastikan bahwa aset tersebut selalu berjalan dengan lancar dan bebas dari gangguan.

Anda ingin memverifikasi bahwa banyak bagian yang bergerak layanan selalu berfungsi seperti yang dimaksudkan, dan tidak dimanipulasi oleh tindakan yang tidak sah, baik oleh pengguna internal atau sebaliknya. Anda mungkin juga ingin mengonfigurasi pemberitahuan drift kesehatan atau tindakan yang tidak sah untuk dikirim ke pemangku kepentingan terkait yang dapat merespons atau menyetujui respons. Misalnya, Anda dapat mengatur kondisi untuk memicu pengiriman email atau pesan Microsoft Teams ke tim operasi, manajer, atau petugas, meluncurkan tiket baru di sistem tiket Anda, dan sebagainya.

Artikel ini menjelaskan bagaimana fitur pemantauan dan audit kesehatan Microsoft Sentinel memungkinkan Anda memantau aktivitas beberapa sumber daya utama layanan dan memeriksa log tindakan pengguna dalam layanan.

Penyimpanan data kesehatan dan audit

Data kesehatan dan audit dikumpulkan dalam dua tabel di ruang kerja Analitik Log Anda: SentinelHealth dan SentinelAudit

Data audit dikumpulkan dalam tabel SentinelAudit .

Data kesehatan dikumpulkan dalam tabel SentinelHealth , yang menangkap peristiwa yang merekam setiap kali aturan otomatisasi dijalankan dan hasil akhir eksekusi tersebut. Tabel SentinelHealth meliputi:

  • Apakah tindakan yang diluncurkan dalam aturan berhasil atau gagal, dan playbook yang dipanggil oleh aturan.
  • Peristiwa yang merekam pemicu playbook sesuai permintaan (berbasis manual atau API), termasuk identitas yang memicunya, dan hasil akhir eksekusi tersebut

Tabel SentinelHealth tidak menyertakan catatan eksekusi konten playbook, hanya apakah playbook berhasil diluncurkan. Log tindakan yang diambil dalam playbook, yang merupakan alur kerja Logic Apps, tercantum dalam tabel AzureDiagnostics . AzureDiagnostics memberi Anda gambaran lengkap tentang kesehatan otomatisasi Anda saat digunakan bersama dengan data SentinelHealth.

Cara paling umum Anda menggunakan data ini adalah dengan mengkueri tabel ini. Untuk hasil terbaik, buat kueri Anda pada fungsi bawaan pada tabel ini, _SentinelHealth() dan _SentinelAudit(), alih-alih mengkueri tabel secara langsung. Fungsi-fungsi ini memastikan pemeliharaan kompatibilitas mundur kueri Anda jika terjadi perubahan yang dilakukan pada skema tabel itu sendiri.

Tabel SentinelHealth tidak dapat ditagih dan tidak dikenakan biaya untuk menyerap data kesehatan. Tabel SentinelAudit dapat ditagih, dan seperti di area lain Microsoft Sentinel, biaya yang dikeluarkan tergantung pada volume log, yang mungkin dipengaruhi oleh jumlah aktivitas dan perubahan yang dibuat pada aturan terkait. Untuk informasi selengkapnya, lihat Merencanakan biaya dan memahami harga dan penagihan Microsoft Azure Sentinel.

Penting

Tabel data SentinelHealth dan SentinelAudit saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pertanyaan untuk memverifikasi kesehatan layanan dan data audit

Gunakan pertanyaan berikut untuk memandu pemantauan data kesehatan dan audit Microsoft Azure Sentinel Anda:

Apakah konektor data berjalan dengan benar?

Apakah konektor data menerima data? Misalnya, jika Anda telah menginstruksikan Microsoft Azure Sentinel untuk menjalankan kueri setiap 5 menit, Anda ingin memeriksa apakah kueri tersebut sedang dilakukan, performanya, dan apakah ada risiko atau kerentanan yang terkait dengan kueri.

Apakah aturan otomatisasi berjalan seperti yang diharapkan?

Apakah aturan otomatisasi Anda berjalan ketika seharusnya—yaitu, kapan kondisinya terpenuhi? Apakah semua tindakan dalam aturan otomatisasi berhasil dijalankan?

Apakah aturan analitik berjalan seperti yang diharapkan?

Apakah aturan analitik Anda berjalan saat seharusnya, dan apakah aturan tersebut menghasilkan hasil? Jika Anda mengharapkan untuk melihat insiden tertentu dalam antrean Anda tetapi Tidak, Anda ingin tahu apakah aturan berjalan tetapi tidak menemukan apa pun (atau cukup hal), atau tidak berjalan sama sekali.

Apakah perubahan tidak sah dilakukan pada aturan analitik?

Apakah ada yang berubah dalam aturan? Anda tidak mendapatkan hasil yang Anda harapkan dari aturan analitik Anda, dan tidak memiliki masalah kesehatan. Anda ingin melihat apakah ada perubahan yang tidak dienkripsi yang dilakukan pada aturan, dan jika demikian, perubahan apa yang dilakukan, oleh siapa, dari mana, dan kapan.

Alur pemantauan kesehatan dan audit

Untuk mulai mengumpulkan data kesehatan dan audit, Anda perlu mengaktifkan pemantauan kesehatan dan audit di pengaturan Microsoft Azure Sentinel. Kemudian Anda dapat menyelami data kesehatan dan audit yang dikumpulkan Microsoft Azure Sentinel:

Tinggi Informasi selengkapnya
Jalankan kueri pada tabel data SentinelHealth dan SentinelAudit dari halaman Log Microsoft Azure Sentinel.
  • Konektor data
  • Aturan dan playbook automation (gabungkan kueri dengan diagnostik Azure Logic Apps)
  • Aturan analitik
  • Gunakan buku kerja audit dan pemantauan kesehatan yang disediakan di Microsoft Azure Sentinel.
  • Konektor data
  • Aturan dan playbook automasi
  • Aturan analitik
  • Gunakan alat manajemen eksekusi Microsoft Sentinel untuk memantau dan mengoptimalkan eksekusi aturan analitik terjadwal
  • Memantau dan mengoptimalkan eksekusi aturan analitik terjadwal Anda
  • Ekspor data ke berbagai tujuan, seperti ruang kerja Analitik Log Anda, pengarsipan ke akun penyimpanan, dan banyak lagi.
  • pengaturan diagnostik di Azure Monitor