Veri bağlayıcılarınızın durumunu izleme

Microsoft Sentinel hizmetinizde tam ve kesintisiz veri alımı sağlamak için veri bağlayıcılarınızın sistem durumunu, bağlantısını ve performansını takip edin.

Aşağıdaki özellikler, bu izlemeyi Microsoft Sentinel'in içinden gerçekleştirmenize olanak sağlar:

• Veri toplama sistem durumu izleme çalışma kitabı: Bu çalışma kitabı ek izleyiciler sağlar, anomalileri algılar ve çalışma alanının veri alımı durumuyla ilgili içgörü sağlar. Alınan verilerin genel durumunu izlemek ve özel görünümler ve kural tabanlı uyarılar oluşturmak için çalışma kitabının mantığını kullanabilirsiniz.

• SentinelHealth veri tablosu (Önizleme): Bu tablonun sorgulanması, bağlayıcı başına en son hata olayları veya başarılıdan hata durumlarına kadar değişiklik içeren bağlayıcılar gibi sistem durumu kaymalarıyla ilgili içgörüler sağlar. Bu bilgileri uyarı ve diğer otomatik eylemler oluşturmak için kullanabilirsiniz. SentinelHealth veri tablosu şu anda yalnızca seçili veri bağlayıcıları için desteklenmektedir.

  Önemli

  SentinelHealth veri tablosu şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

• Bağlı SAP sistemlerinizin durumunu ve durumunu görüntüleme: SAP veri bağlayıcısı altında SAP sistemlerinizin sistem durumu bilgilerini gözden geçirin ve SAP aracısının veri toplama durumu hakkında bilgi almak için bir uyarı kuralı şablonu kullanın.

Sistem durumu izleme çalışma kitabını kullanma

Başlamak için İçerik hub'ından Veri toplama sistem durumu izleme çalışma kitabını yükleyin ve Microsoft Sentinel'in Çalışma Kitapları bölümünde şablonun bir kopyasını görüntüleyin veya oluşturun.

1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

2. İçerik hub'ında arama çubuğuna sistem durumu yazın ve sonuçlar arasından Veri toplama sistem durumu izleme'yi seçin.

3. Ayrıntılar bölmesinden Yükle'yi seçin. Çalışma kitabının yüklü olduğunu belirten bir bildirim iletisi gördüğünüzde veya Yükle yerine Yapılandırma'yı görürseniz sonraki adıma geçin.

4. Microsoft Sentinel'de Tehdit yönetimi'nin altında Çalışma Kitapları'nı seçin.

5. Çalışma Kitapları sayfasında Şablonlar sekmesini seçin, arama çubuğuna sistem durumu yazın ve sonuçlar arasından Veri toplama sistem durumunu izleme'yi seçin.

6. Çalışma kitabını olduğu gibi kullanmak için Şablonu görüntüle'yi veya çalışma kitabının düzenlenebilir bir kopyasını oluşturmak için Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.

7. Çalışma kitabına girdikten sonra, önce görüntülemek istediğiniz aboneliği ve çalışma alanını seçin, ardından verileri gereksinimlerinize göre filtrelemek için TimeRange'i tanımlayın. Çalışma kitabının yerinde açıklamasını görüntülemek için Yardımı göster iki durumlu düğmesini kullanın.

   

Bu çalışma kitabında üç sekmeli bölüm vardır:

• Genel Bakış sekmesi, seçili çalışma alanında veri alımının genel durumunu gösterir: birim ölçüleri, EPS oranları ve son günlük alınma zamanı.

• Veri toplama anomalileri sekmesi, tablo ve veri kaynağına göre veri toplama işlemindeki anomalileri algılamanıza yardımcı olur. Her sekme belirli bir tablo için anomaliler sunar ( Genel sekmesi bir tablo koleksiyonu içerir). Anomaliler, anomali puanı döndüren series_decompose_anomalies() işlevi kullanılarak hesaplanır. Bu işlev hakkında daha fazla bilgi edinin. İşlevin değerlendirmesi için aşağıdaki parametreleri ayarlayın:

  • AnomaliesTimeRange: Bu zaman seçici yalnızca veri toplama anomalileri görünümüne uygulanır.

  • SampleInterval: Verilerin verilen zaman aralığında örneklendiği zaman aralığı. Anomali puanı yalnızca son aralıktaki veriler üzerinde hesaplanır.

  • PositiveAlertThreshold: Bu değer pozitif anomali puanı eşiğini tanımlar. Ondalık değerleri kabul eder.

  • NegativeAlertThreshold: Bu değer negatif anomali puanı eşiğini tanımlar. Ondalık değerleri kabul eder.

    

• Aracı bilgileri sekmesi, Azure VM, diğer bulut VM'leri, şirket içi VM veya fiziksel olsun, çeşitli makinelerinizde yüklü aracıların durumu hakkında bilgi gösterir. Sistem konumunu, sinyal durumunu ve gecikme süresini, kullanılabilir bellek ve disk alanını ve aracı işlemlerini izleyin.

  Bu bölümde makinelerinizin ortamını açıklayan sekmeyi seçmeniz gerekir: Yalnızca Azure Arc ile yönetilen makineleri görüntülemek istiyorsanız Azure tarafından yönetilen makineler sekmesini seçin; Azure İzleyici Aracısı'nın yüklü olduğu hem yönetilen hem de Azure dışı makineleri görüntülemek için Tüm makineler sekmesini seçin.

  

SentinelHealth veri tablosunu kullanma (Genel önizleme)

SentinelHealth veri tablosundan veri bağlayıcısı sistem durumu verilerini almak için öncelikle çalışma alanınızın Microsoft Sentinel sistem durumu özelliğini açmanız gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel için sistem durumu izlemeyi açma.

Sistem durumu özelliği açıldıktan sonra, veri bağlayıcılarınız için oluşturulan ilk başarı veya başarısızlık olayında SentinelHealth veri tablosu oluşturulur.

Desteklenen veri bağlayıcıları

SentinelHealth veri tablosu şu anda yalnızca aşağıdaki veri bağlayıcıları için desteklenmektedir:

• Amazon Web Services (CloudTrail ve S3)
• Dynamics 365
• Office 365
• Uç nokta için Microsoft Defender
• Tehdit Bilgileri - TAXII
• Tehdit Bilgileri Platformları
• Kodsuz Bağlayıcı Platformu'nu temel alan tüm bağlayıcılar

SentinelHealth tablo olaylarını anlama

Aşağıdaki sistem durumu olayı türleri SentinelHealth tablosuna kaydedilir:

• Veri getirme durumu değişikliği. Veri bağlayıcısı durumu sürekli başarı veya başarısızlık olaylarıyla kararlı kaldığı sürece saatte bir kez günlüğe kaydedilir. Veri bağlayıcısı durumu değişmediği sürece, yalnızca saatlik izleme, yedekli denetimi önlemek ve tablo boyutunu küçültmek için çalışır. Veri bağlayıcısının durumunda sürekli hatalar varsa, hatalarla ilgili ek ayrıntılar ExtendedProperties sütununa eklenir.

  Veri bağlayıcısının durumu başarılıdan başarısızlığa, başarısızlıktan başarıya değişirse veya hata nedenlerinde değişiklik olursa, olay ekibinizin proaktif ve anında eylem gerçekleştirmesine olanak sağlamak için hemen günlüğe kaydedilir.

  Kaynak hizmet azaltma gibi olası geçici hatalar yalnızca 60 dakikadan uzun süre devam ettikten sonra günlüğe kaydedilir. Bu 60 dakika, Microsoft Sentinel'in herhangi bir kullanıcı eylemi gerektirmeden arka uçtaki geçici bir sorunun üstesinden gelmesine ve verileri yakalamasına olanak tanır. Kesinlikle geçici olmayan hatalar hemen günlüğe kaydedilir.

• Hata özeti. Saatte bir, bağlayıcı başına, çalışma alanı başına toplu hata özetiyle günlüğe kaydedilir. Hata özeti olayları yalnızca bağlayıcı belirli bir saat boyunca yoklama hatalarıyla karşılaştığında oluşturulur. Bunlar, ExtendedProperties sütununda bağlayıcının kaynak platformunun sorgulandığı zaman aralığı ve zaman aralığında karşılaşılan hataların ayrı bir listesi gibi ek ayrıntıları içerir.

Daha fazla bilgi için bkz . SentinelHealth tablo sütunları şeması.

Sistem durumu kaymalarını algılamak için sorgu çalıştırma

Veri bağlayıcılarınızdaki sistem durumu kaymalarını algılamanıza yardımcı olmak için SentinelHealth tablosunda sorgular oluşturun. Örneğin:

Bağlayıcı başına en son hata olaylarını algılama:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Başarısız durumundan başarı durumuna kadar olan değişikliklerle bağlayıcıları algılama:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Başarılıdan başarısız duruma değişiklikleri olan bağlayıcıları algılayın:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

• let deyimi
• where işleci
• project işleci
• summarize işleci
• join işleci
• ago() işlevi
• arg_max() toplama işlevi

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

• KQL hızlı başvurusu
• Kusto Sorgu Dili öğrenme kaynakları

Sistem durumu sorunları için uyarıları ve otomatik eylemleri yapılandırma

Microsoft Sentinel günlüklerinde otomasyonu yapılandırmak için Microsoft Sentinel analiz kurallarını kullanabilirsiniz ancak veri bağlayıcılarınızdaki sistem durumu kaymalarına karşı bildirim almak ve anında işlem yapmak istiyorsanız Azure İzleyici uyarı kurallarını kullanmanızı öneririz.

Örneğin:

1. Azure İzleyici uyarı kuralında, kural kapsamı olarak Microsoft Sentinel çalışma alanınızı ve ilk koşul olarak Özel günlük araması'nı seçin.

2. Sıklık veya geri arama süresi gibi uyarı mantığını gerektiği gibi özelleştirin ve ardından sistem durumu kaymalarını aramak için sorguları kullanın.

3. Kural eylemleri için mevcut bir eylem grubunu seçin veya anında iletme bildirimlerini veya sisteminizde Bir Logic App, Web Kancası veya Azure İşlevi tetikleme gibi diğer otomatik eylemleri yapılandırmak için yeni bir eylem grubu oluşturun.

Daha fazla bilgi için bkz . Azure İzleyici uyarılarına genel bakış ve Azure İzleyici uyarı günlüğü.

Sonraki adımlar

• Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
• Microsoft Sentinel'de denetimi ve sistem durumu izlemeyi açın.
• Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
• Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
• SentinelHealth ve SentinelAudit tablo şemaları hakkında daha fazla bilgi edinin.