Bagikan melalui

Memantau kesehatan dan mengaudit integritas aturan analitik Anda

  • Artikel

Untuk memastikan deteksi ancaman yang komprehensif, tidak terganggu, dan bebas gangguan dalam layanan Microsoft Azure Sentinel Anda, lacak kesehatan dan integritas aturan analitik Anda dan jaga agar tetap berfungsi secara optimal, dengan memantau wawasan eksekusi mereka, dengan mengkueri log kesehatan dan audit, dan dengan menggunakan jalankan ulang manual untuk menguji dan mengoptimalkan aturan Anda.

Siapkan pemberitahuan peristiwa kesehatan dan audit untuk pemangku kepentingan terkait, yang kemudian dapat mengambil tindakan. Misalnya, tentukan dan kirim email atau pesan Microsoft Teams, buat tiket baru di sistem tiket Anda, dan sebagainya.

Artikel ini menjelaskan cara menggunakan fitur audit dan pemantauan kesehatan Microsoft Sentinel untuk melacak kesehatan dan integritas aturan analitik Anda dari dalam Microsoft Azure Sentinel.

Untuk informasi tentang wawasan aturan dan menjalankan ulang aturan secara manual, lihat Memantau dan mengoptimalkan eksekusi aturan analitik terjadwal Anda.

Penting

Tabel data SentinelHealth dan SentinelAudit saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Ringkasan

  • Log kesehatan aturan analitik Microsoft Azure Sentinel:

    • Log ini menangkap peristiwa yang merekam berjalannya aturan analitik, dan hasil akhir dari proses iniā€”jika berhasil atau gagal, dan jika gagal, mengapa.
    • Log juga merekam, untuk setiap menjalankan aturan analitik:
      • Berapa banyak peristiwa yang diambil oleh kueri aturan.
      • Apakah jumlah peristiwa melewati ambang yang ditentukan dalam aturan, menyebabkan aturan mengaktifkan pemberitahuan.

    Log ini dikumpulkan dalam tabel SentinelHealth di Analitik Log.

  • Log audit aturan analitik Microsoft Azure Sentinel:

    • Log ini menangkap peristiwa yang merekam perubahan yang dilakukan pada aturan analitik apa pun, termasuk detail berikut:
      • Nama aturan yang diubah.
      • Properti aturan mana yang diubah.
      • Status pengaturan aturan sebelum dan sesudah perubahan.
      • Pengguna atau identitas yang membuat perubahan.
      • IP sumber dan tanggal/waktu perubahan.
      • ...dan lainnya.

    Log ini dikumpulkan dalam tabel SentinelAudit di Analitik Log.

Menggunakan tabel data SentinelHealth dan SentinelAudit (Pratinjau)

Untuk mendapatkan data audit dan kesehatan dari tabel yang dijelaskan di atas, Anda harus terlebih dahulu mengaktifkan fitur kesehatan Microsoft Azure Sentinel untuk ruang kerja Anda. Untuk informasi selengkapnya, lihat Mengaktifkan audit dan pemantauan kesehatan untuk Microsoft Azure Sentinel.

Setelah fitur kesehatan diaktifkan, tabel data SentinelHealth dibuat pada peristiwa keberhasilan atau kegagalan pertama yang dihasilkan untuk aturan otomatisasi dan playbook Anda.

Memahami peristiwa tabel SentinelHealth dan SentinelAudit

Jenis peristiwa kesehatan aturan analitik berikut dicatat dalam tabel SentinelHealth :

Jenis peristiwa audit aturan analitik berikut dicatat dalam tabel SentinelAudit :

  • Membuat atau memperbarui aturan analitik.

  • Aturan analitik dihapus.

    Untuk informasi selengkapnya, lihat Skema kolom tabel SentinelAudit.

Menjalankan kueri untuk mendeteksi masalah kesehatan dan integritas

Untuk hasil terbaik, Anda harus membangun kueri Anda pada fungsi bawaan pada tabel ini, _SentinelHealth() dan _SentinelAudit(), alih-alih mengkueri tabel secara langsung. Fungsi-fungsi ini memastikan pemeliharaan kompatibilitas mundur kueri Anda jika terjadi perubahan yang dilakukan pada skema tabel itu sendiri.

Sebagai langkah pertama, kueri Anda harus memfilter tabel untuk data yang terkait dengan aturan analitik. Gunakan parameter SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Jika mau, Anda dapat memfilter daftar lebih lanjut untuk jenis aturan analitik tertentu. SentinelResourceKind Gunakan parameter untuk ini.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Berikut adalah beberapa contoh kueri untuk membantu Anda memulai:

  • Temukan aturan yang tidak berhasil dijalankan:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Temukan aturan yang telah "dinonaktifkan secara otomatis":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Hitung aturan dan eksekusi yang berhasil atau gagal, karena alasan:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Temukan aktivitas penghapusan aturan:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Temukan aktivitas pada aturan, berdasarkan nama aturan dan nama aktivitas:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Temukan aktivitas pada aturan, berdasarkan nama pemanggil (identitas yang melakukan aktivitas):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Lihat informasi selengkapnya tentang item berikut yang digunakan dalam contoh sebelumnya, dalam dokumentasi Kusto:

Untuk informasi selengkapnya tentang KQL, lihat gambaran umum Bahasa Kueri Kusto (KQL).

Sumber daya lainnya:

Status, kesalahan, dan langkah-langkah yang disarankan

Untuk eksekusi aturan analitik terjadwal atau aturan analitik NRT, Anda mungkin melihat salah satu status dan deskripsi berikut:

  • Berhasil: Aturan berhasil dijalankan, menghasilkan <n> pemberitahuan.

  • Berhasil: Aturan berhasil dijalankan, tetapi tidak mencapai ambang batas (<n>) yang diperlukan untuk menghasilkan pemberitahuan.

  • Kegagalan: Ini adalah deskripsi yang mungkin untuk kegagalan aturan, dan apa yang dapat Anda lakukan tentang mereka.

    Deskripsi Remediasi
    Terjadi kesalahan server internal saat menjalankan kueri.
    Waktu eksekusi kueri habis.
    Tabel yang dirujuk dalam kueri tidak ditemukan. Verifikasi bahwa sumber data yang relevan tersambung.
    Terjadi kesalahan semantik saat menjalankan kueri. Coba reset aturan analitik dengan mengedit dan menyimpannya (tanpa mengubah pengaturan apa pun).
    Fungsi yang dipanggil oleh kueri dinamai dengan kata yang dipesan. Hapus atau ganti nama fungsi.
    Terjadi kesalahan sintaks saat menjalankan kueri. Coba reset aturan analitik dengan mengedit dan menyimpannya (tanpa mengubah pengaturan apa pun).
    Ruang kerja tidak ada.
    Kueri ini ditemukan untuk menggunakan terlalu banyak sumber daya sistem dan dicegah dijalankan. Tinjau dan sesuaikan aturan analitik. Lihat gambaran umum Bahasa Kueri Kusto dan dokumentasi praktik terbaik kami.
    Fungsi yang dipanggil oleh kueri tidak ditemukan. Verifikasi keberadaan di ruang kerja Anda dari semua fungsi yang dipanggil oleh kueri.
    Ruang kerja yang digunakan dalam kueri tidak ditemukan. Verifikasi bahwa semua ruang kerja dalam kueri ada.
    Anda tidak memiliki izin untuk menjalankan kueri ini. Coba reset aturan analitik dengan mengedit dan menyimpannya (tanpa mengubah pengaturan apa pun).
    Anda tidak memiliki izin akses ke satu atau beberapa sumber daya dalam kueri.
    Kueri merujuk ke jalur penyimpanan yang tidak ditemukan.
    Kueri ditolak akses ke jalur penyimpanan.
    Beberapa fungsi dengan nama yang sama didefinisikan di ruang kerja ini. Hapus atau ganti nama fungsi redundan dan reset aturan dengan mengedit dan menyimpannya.
    Kueri ini tidak mengembalikan hasil apa pun.
    Beberapa tataan hasil dalam kueri ini tidak diperbolehkan.
    Hasil kueri berisi jumlah bidang per baris yang tidak konsisten.
    Aturan yang berjalan tertunda karena waktu penyerapan data yang panjang.
    Aturan yang berjalan tertunda karena masalah sementara.
    Pemberitahuan tidak diperkaya karena masalah sementara.
    Pemberitahuan tidak diperkaya karena masalah pemetaan entitas.
    < entitas angka dihilangkan dalam nama> pemberitahuan <karena batas ukuran pemberitahuan 32 KB.>
    < entitas angka dihilangkan dalam nama> pemberitahuan <karena masalah pemetaan entitas.>
    Kueri menghasilkan <peristiwa angka>, yang melebihi hasil batas> maksimum <yang diizinkan untuk< aturan jenis> aturan dengan konfigurasi pengelompokan peristiwa pemberitahuan per baris. Pemberitahuan per baris dibuat untuk peristiwa batas 1> pertama <dan pemberitahuan agregat tambahan dibuat untuk memperhitungkan semua peristiwa.
    - <number> = jumlah peristiwa yang dikembalikan oleh kueri
    - <batas> = saat ini 150 pemberitahuan untuk aturan terjadwal, 30 untuk aturan NRT
    - <jenis> aturan = Terjadwal atau NRT

Menggunakan buku kerja audit dan pemantauan kesehatan

  1. Untuk membuat buku kerja tersedia di ruang kerja, Anda harus menginstal solusi buku kerja dari hub konten Microsoft Azure Sentinel:

    1. Dari portal Microsoft Azure Sentinel, pilih Hub konten (Pratinjau) dari menu Manajemen konten.

    2. Di hub Konten, masukkan kesehatan di bilah pencarian, dan pilih Analytics Health & Audit dari antara solusi Buku Kerja di bawah Mandiri dalam hasil.

      Cuplikan layar pemilihan buku kerja kesehatan analitik dari hub konten.

    3. Pilih Instal dari panel detail, lalu pilih Simpan yang muncul di tempatnya.

  2. Saat solusi menunjukkan bahwa solusi terinstal, pilih Buku Kerja dari menu Manajemen ancaman.

    Cuplikan layar indikasi bahwa solusi buku kerja kesehatan analitik diinstal dari hub konten.

  3. Di galeri Buku Kerja, pilih tab Templat, masukkan kesehatan di bilah pencarian, dan pilih Analytics Health & Audit dari antara hasilnya.

    Cuplikan layar memilih buku kerja kesehatan analitik dari galeri templat.

  4. Pilih Simpan di panel detail untuk membuat salinan buku kerja yang dapat diedit dan dapat digunakan. Ketika salinan dibuat, pilih Tampilkan buku kerja yang disimpan.

  5. Setelah berada di buku kerja, pertama-tama pilih langganan dan ruang kerja yang ingin Anda lihat (mungkin sudah dipilih), lalu tentukan TimeRange untuk memfilter data sesuai dengan kebutuhan Anda. Gunakan tombol Perlihatkan bantuan untuk menampilkan penjelasan di tempat buku kerja.

    Cuplikan layar tab gambaran umum buku kerja kesehatan aturan analitik.

Ada tiga bagian yang di-tab dalam buku kerja ini:

Tab Ikhtisar

Tab Gambaran Umum memperlihatkan ringkasan kesehatan dan audit:

  • Ringkasan kesehatan status aturan analitik berjalan di ruang kerja yang dipilih: jumlah eksekusi, keberhasilan dan kegagalan, dan detail peristiwa kegagalan.
  • Ringkasan audit aktivitas pada aturan analitik di ruang kerja yang dipilih: jumlah aktivitas dari waktu ke waktu, jumlah aktivitas berdasarkan jenis, dan jumlah aktivitas dari berbagai jenis menurut aturan.

Tab kesehatan

Tab Kesehatan memungkinkan Anda menelusuri paling detail peristiwa kesehatan tertentu.

Cuplikan layar pemilihan tab kesehatan di buku kerja kesehatan analitik.

  • Filter seluruh data halaman menurut status (berhasil/gagal) dan jenis aturan (terjadwal/NRT).
  • Lihat tren eksekusi aturan yang berhasil dan/atau gagal (tergantung filter status) selama periode waktu yang dipilih. Anda dapat "menyikat waktu" grafik tren untuk melihat subset rentang waktu asli. Cuplikan layar aturan analitik berjalan dari waktu ke waktu dalam buku kerja kesehatan analitik.
  • Filter halaman lainnya berdasarkan alasan.
  • Lihat jumlah total eksekusi untuk semua aturan analitik, ditampilkan secara proporsional menurut status dalam bagan pai.
  • Berikut ini adalah tabel yang memperlihatkan jumlah aturan analitik unik yang berjalan, dipecah menurut jenis dan status aturan.
    • Pilih status untuk memfilter bagan yang tersisa untuk status tersebut.
    • Kosongkan filter dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar jumlah aturan yang dijalankan berdasarkan status dan ketik buku kerja kesehatan analitik.
  • Lihat setiap status, dengan jumlah kemungkinan alasan untuk status tersebut. (Hanya alasan yang diwakili dalam eksekusi dalam jangka waktu yang dipilih yang akan ditampilkan.)
    • Pilih status untuk memfilter bagan yang tersisa untuk status tersebut.
    • Kosongkan filter dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar jumlah alasan unik berdasarkan status dalam buku kerja kesehatan analitik.
  • Selanjutnya, lihat daftar alasan tersebut, dengan jumlah total aturan yang dijalankan digabungkan dan jumlah aturan unik yang dijalankan.
    • Pilih alasan untuk memfilter bagan berikut karena alasan tersebut.
    • Kosongkan filter dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar aturan berjalan dengan alasan unik dalam buku kerja kesehatan analitik.
  • Setelah itu adalah daftar aturan analitik unik yang berjalan, dengan hasil terbaru dan garis tren keberhasilan dan/atau kegagalannya (tergantung pada status yang dipilih untuk memfilter daftar).
    • Pilih aturan untuk menelusuri paling detail dan memperlihatkan tabel baru dengan semua eksekusi aturan tersebut (dalam jangka waktu yang dipilih).
    • Kosongkan tabel tersebut dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar daftar aturan unik yang dijalankan, dengan status dan garis tren, dalam buku kerja kesehatan analitik.
  • Jika Anda memilih aturan dalam daftar di atas, tabel baru akan muncul dengan detail kesehatan untuk aturan yang dipilih. Cuplikan layar daftar eksekusi aturan analitik yang dipilih, dalam buku kerja kesehatan analitik.

Tab Audit

Tab Audit memungkinkan Anda menelusuri paling detail peristiwa audit tertentu.

Cuplikan layar pemilihan tab audit di buku kerja kesehatan analitik.

  • Filter seluruh data halaman menurut jenis aturan audit (terjadwal/Fusion).
  • Lihat tren aktivitas yang diaudit pada aturan analitik selama periode waktu yang dipilih. Anda dapat "menyikat waktu" grafik tren untuk melihat subset rentang waktu asli. Cuplikan layar aktivitas audit yang sedang tren dalam buku kerja kesehatan analitik.
  • Lihat jumlah peristiwa yang diaudit, dipecah menurut aktivitas dan jenis aturan.
    • Pilih aktivitas untuk memfilter bagan berikut untuk aktivitas tersebut.
    • Kosongkan filter dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar jumlah peristiwa audit menurut aktivitas dan ketik buku kerja kesehatan analitik.
  • Lihat jumlah peristiwa yang diaudit menurut nama aturan.
    • Pilih nama aturan untuk memfilter tabel berikut untuk aturan tersebut, dan untuk menelusuri paling detail dan memperlihatkan tabel baru dengan semua aktivitas pada aturan tersebut (dalam jangka waktu yang dipilih). (Lihat setelah cuplikan layar berikut.)
    • Kosongkan filter dengan memilih ikon "Hapus pilihan" (terlihat seperti ikon "Batalkan"), di sudut kanan atas bagan. Cuplikan layar peristiwa yang diaudit menurut nama aturan dan pemanggil dalam buku kerja kesehatan analitik.
  • Lihat jumlah peristiwa yang diaudit oleh pemanggil (identitas yang melakukan aktivitas).
  • Jika Anda memilih nama aturan dalam bagan yang digambarkan di atas, tabel lain akan muncul memperlihatkan aktivitas yang diaudit pada aturan tersebut. Pilih nilai yang muncul sebagai tautan di kolom ExtendedProperties untuk membuka panel samping yang menampilkan perubahan yang dibuat pada aturan. Cuplikan layar aktivitas audit untuk aturan yang dipilih dalam buku kerja kesehatan analitik.

Langkah berikutnya