Microsoft Sentinel 中的审核和运行状况监视
Microsoft Sentinel 是一项关键服务,用于提升和保护组织的技术和信息资产的安全性,因此你需要确信它始终都会顺利运行且不受干扰。 你希望能够确保服务的许多移动部件始终按预期方式运行,并且服务不会受到未经授权的操作(无论是内部用户还是其他人的操作)的操纵。 你可能还希望配置运行状况变化通知或配置将未经授权的操作发送给可以响应或批准响应的相关利益干系人。 例如,可以设置条件,触发将电子邮件或 Microsoft Teams 消息发送给运营团队、经理或管理人员,在票证系统中启动新票证,等等。
本文介绍 Microsoft Sentinel 的运行状况监视和审核功能如何让你监视某些服务的关键资源的活动,并检查服务中用户操作的日志。
说明
本部分介绍运行状况监视和审核组件的功能和用例。
数据存储
运行状况和审核数据收集在 Log Analytics 工作区的两个表中:
- 运行状况数据收集在 SentinelHealth 表中。
- 审核数据收集到 SentinelAudit 表中。
使用此数据的普遍方式是查询这些表。
为了获得最佳结果,应对这些表的预生成函数 _SentinelHealth() 和 _SentinelAudit() 生成查询,而不是直接查询表。 这些函数可确保在更改表本身的架构时保持查询的向后兼容性。
重要
SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
监视 playbook 的运行状况时,除了 SentinelHealth 数据外,还需要从 playbook 中捕获 Azure 逻辑应用诊断事件,以便全面了解 playbook 活动。 Azure 逻辑应用程序诊断数据收集在工作区的 AzureDiagnostics 表中。
用例
健康产业
数据连接器是否正常运行?
数据连接器是否正在接收数据? 例如,如果已指示 Microsoft Sentinel 每 5 分钟运行一次查询,则需要检查该查询是否正在执行、如何执行以及是否存在与该查询相关的任何风险或漏洞。
审核
Microsoft Sentinel 如何呈现运行状况和审核数据
若要开始收集运行状况和审核数据,需要在 Microsoft Sentinel 设置中启用运行状况和审核监视 。 然后,可以深入了解 Microsoft Sentinel 收集的运行状况和审核数据:
从 Microsoft Sentinel“日志”边栏选项卡对 SentinelHealth 和 SentinelAudit 数据表运行查询。
使用 Microsoft Sentinel 中提供的审核和运行状况监视工作簿。
将数据导出到各种目标,例如 Log Analytics 工作区、存档到存储帐户等。 了解日志支持的目标。
后续步骤
- 在 Microsoft Sentinel 中启用审核和运行状况监视。
- 监视数据连接器的运行状况。
- 请参阅有关 SentinelHealth 和 SentinelAudit 表架构的详细信息。
另请参阅: