Microsoft Sentinel'de denetim ve sistem durumu izleme
Microsoft Sentinel, kuruluşunuzun teknolojik ve bilgi varlıklarının güvenliğini geliştirmek ve korumak için kritik bir hizmettir, bu nedenle her zaman sorunsuz ve müdahalesiz çalıştığından emin olmak istersiniz.
Hizmetin birçok hareketli parçasının her zaman amaçlandığı gibi çalıştığını ve iç kullanıcılar veya başka bir şekilde yetkisiz eylemler tarafından işlenmediğini doğrulamak istiyorsunuz. Ayrıca, bir yanıtı yanıtlayan veya onaylayan ilgili paydaşlara gönderilecek durum kaymaları veya yetkisiz eylemlerle ilgili bildirimleri yapılandırmak da isteyebilirsiniz. Örneğin, operasyon ekiplerine, yöneticilere veya memurlara e-posta veya Microsoft Teams iletilerinin gönderilmesini tetikleyen koşullar ayarlayabilir, bilet oluşturma sisteminizde yeni biletler başlatabilir vb.
Bu makalede, Microsoft Sentinel'in sistem durumu izleme ve denetim özelliklerinin hizmetin bazı önemli kaynaklarının etkinliğini izlemenize ve hizmet içindeki kullanıcı eylemlerinin günlüklerini incelemenize nasıl olanak sağlandığı açıklanmaktadır.
Sistem durumu ve denetim veri depolaması
Sistem durumu ve denetim verileri Log Analytics çalışma alanınızdaki iki tabloda toplanır: SentinelHealth ve SentinelAudit
Denetim verileri SentinelAudit tablosunda toplanır.
Sistem durumu verileri, bir otomasyon kuralı her çalıştırıldığında ve bu çalıştırmaların son sonuçlarını kaydeden olayları yakalayan SentinelHealth tablosunda toplanır. SentinelHealth tablosu şunları içerir:
- Kuralda başlatılan eylemlerin başarılı veya başarısız olup olmadığı ve kural tarafından çağrılan playbook'lar.
- Playbook'ları tetikleyen kimlikler ve bu çalıştırmaların son sonuçları dahil olmak üzere isteğe bağlı (el ile veya API tabanlı) tetikleme işlemini kaydeden olaylar
SentinelHealth tablosu, playbook'un içeriğinin yürütülmesinin kaydını içermez, yalnızca playbook'un başarıyla başlatılıp başlatılmadığını içerir. Logic Apps iş akışları olan bir playbook içinde gerçekleştirilen eylemlerin günlüğü AzureDiagnostics tablosunda listelenir. AzureDiagnostics, SentinelHealth verileriyle birlikte kullanıldığında otomasyon durumunuzun tam bir resmini sağlar.
Bu verileri kullanmanın en yaygın yolu bu tabloları sorgulamaktır. En iyi sonuçları elde etmek için, sorgularınızı tabloları doğrudan sorgulamak yerine _SentinelHealth() ve _SentinelAudit() gibi bu tablolarda önceden oluşturulmuş işlevler üzerinde oluşturun. Bu işlevler, tabloların şemasında değişiklik yapılması durumunda sorgularınızın geriye dönük uyumluluğunun korunmasını sağlar.
SentinelHealth tablosu faturalandırılamaz ve sistem durumu verilerini almak için ücret ödemez. SentinelAudit tablosu faturalandırılabilir ve Microsoft Sentinel'in diğer alanlarında olduğu gibi tahakkuk eden maliyetler günlük birimine bağlıdır ve bu da ilgili kurallarda yapılan etkinliklerin ve değişikliklerin sayısından etkilenebilir. Daha fazla bilgi için bkz . Maliyetleri planlama ve Microsoft Sentinel fiyatlandırması ile faturalamasını anlama.
Önemli
SentinelHealth ve SentinelAudit veri tabloları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Hizmet durumunu doğrulama ve verileri denetleme soruları
Microsoft Sentinel'in sistem durumu ve denetim verilerini izlemenize yol göstermek için aşağıdaki soruları kullanın:
Veri bağlayıcısı düzgün çalışıyor mu?
Veri bağlayıcısı veri alıyor mu? Örneğin, Microsoft Sentinel'e her 5 dakikada bir bir sorgu çalıştırmasını istediyseniz, bu sorgunun gerçekleştirilip gerçekleştirilmediğini, nasıl performans sergilediğini ve sorguyla ilgili riskler veya güvenlik açıkları olup olmadığını denetlemek istersiniz.
Otomasyon kuralı beklendiği gibi çalıştı mı?
Otomasyon kuralınız olması gerektiği zaman mı, yani koşulları karşılandığında mı çalıştı? Otomasyon kuralındaki tüm eylemler başarıyla çalıştı mı?
Analiz kuralı beklendiği gibi çalıştı mı?
Analiz kuralınız olması gerektiği zaman çalıştı mı ve sonuç oluşturdu mu? Kuyruğunuzda belirli olayları görmeyi bekliyor ancak görmüyorsanız kuralın çalıştırılıp çalıştırılmadığını ancak hiçbir şey (veya yeterli şey) bulmadığını veya hiç çalışmadığını bilmek istersiniz.
Analiz kuralında yetkisiz değişiklikler yapıldı mı?
Kuralda bir şey mi değiştirildi? Analiz kuralınızdan beklediğiniz sonuçları alamadınız ve herhangi bir sistem durumu sorunu yoktu. Kuralda planlanmamış değişiklikler yapılıp yapılmadığını ve yapıldıysa hangi değişikliklerin kim tarafından, nereden ve ne zaman yapıldığını görmek istiyorsunuz.
Sistem durumu ve denetim izleme akışı
Sistem durumu ve denetim verilerini toplamaya başlamak için Microsoft Sentinel ayarlarında sistem durumu ve denetim izlemeyi etkinleştirmeniz gerekir. Ardından Microsoft Sentinel'in topladığı sistem durumu ve denetim verilerini inceleyebilirsiniz:
| Etkinlik | Daha Fazla Bilgi |
|---|---|
| Microsoft Sentinel Günlükleri sayfasından SentinelHealth ve SentinelAudit veri tablolarında sorgular çalıştırın. | |
| Microsoft Sentinel'de sağlanan denetim ve sistem durumu izleme çalışma kitaplarını kullanın. | |
| Zamanlanmış analiz kurallarının yürütülmesini izlemek ve iyileştirmek için Microsoft Sentinel'in yürütme yönetimi araçlarını kullanma | |
| Verileri Log Analytics çalışma alanınız, bir depolama hesabına arşivleme ve daha fazlası gibi çeşitli hedeflere aktarın. |
İlgili içerik
- Microsoft Sentinel'de denetimi ve sistem durumunu izlemeyi açma
- Otomasyon kurallarınızın ve playbook'larınızın durumunu izleme
- Veri bağlayıcılarınızın durumunu izleme
- Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleme
- SAP sistem durumunu izleme
- SentinelHealth ve SentinelAudit tablo şemaları.