为 Microsoft Sentinel 启用审核和运行状况监视(预览版)

通过在 Microsoft Sentinel 的“设置”页面中启用审核和运行状况监视功能来监视受支持的 Microsoft Sentinel 资源的运行状况并审核其完整性。 获取运行状况偏移的见解(例如最新的失败事件或状态从“成功”更改到“失败”)以及未授权操作的见解,并使用此信息创建通知和其他自动化操作。

若要从 SentinelHealth 数据表获取运行状况数据,或要从 SentinelAudit 数据表获取审核信息,必须先为工作区启用 Microsoft Sentinel 审核和运行状况监视功能。 本文介绍如何启用这些功能。

若要使用 API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) 实现运行状况和审核功能,请查看诊断设置操作。 若要配置审核和运行状况事件的保留时间,请参阅管理 Log Analytics 工作区中的数据保留

重要

SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

为工作区启用审核和运行状况监视

  1. 在 Microsoft Sentinel 中,在左侧的“配置”菜单下选择“设置”。

  2. 从横幅中选择“设置”。

  3. 向下滚动到“审核和运行状况监视”部分,然后选中它以展开。

  4. 选择“启用”可跨所有资源类型启用审核和运行状况监视,并将审核和监视数据仅发送到 Microsoft Sentinel 工作区。

    或者,选择“配置诊断设置”链接,仅为数据收集器和/或自动化资源启用运行状况监视,或者配置高级选项,例如数据发送的更多位置

    显示如何获取运行状况监视设置的屏幕截图。

    如果选择了“启用”,则该按钮将灰显并更改为“启用...”,然后更改为“已启用”。 此时,审核和运行状况监视已启用,设置完成! 相应的诊断设置是在后台添加的,你可以通过选择“配置诊断设置”链接来查看和编辑它们。

  5. 如果选择了“配置诊断设置”,请在“诊断设置”屏幕中选择“+ 添加诊断设置”。

    (如果要编辑现有设置,请从诊断设置列表中选择。)

    • 在“诊断设置名称”字段中,为设置输入有意义的名称。

    • 在“日志”列中,为要监视的资源类型选择适当的“类别”,例如“数据收集 - 连接器”。 如果要监视分析规则,请选择“allLogs”。

    • 在“目标详细信息”下,选择“发送到 Log Analytics 工作区”,然后从下拉菜单中选择“订阅”和“Log Analytics 工作区”。

      屏幕截图为启用审核和运行状况监视的诊断设置屏幕。

      如果需要,还可以选择除 Log Analytics 工作区外的其他数据发送目标。

  6. 选择顶部横幅上的“保存”以保存新设置。

将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

验证表是否正在接收数据

在“Microsoft Sentinel 日志”页中,对 SentinelHealth 表运行查询。 例如:

_SentinelHealth()
 | take 20

支持的数据表和资源类型

启用该功能后,将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

Microsoft Sentinel 运行状况监视当前支持以下类型的资源:

  • 分析规则
  • 数据连接器
  • 自动化规则
  • playbook(Azure 逻辑应用工作流)

注意

监视 playbook 运行状况时,请确保从 playbook 中收集 Azure 逻辑应用诊断事件,以全面了解你的 playbook 活动。 有关详细信息,请参阅监视自动化规则和 playbook 的运行状况

审核目前仅支持分析规则资源类型。

后续步骤