为 Microsoft Sentinel 启用审核和运行状况监视(预览版)

  • 项目

通过在 Microsoft Sentinel 的“设置”页面中启用审核和运行状况监视功能来监视受支持的 Microsoft Sentinel 资源的运行状况并审核其完整性。 获取运行状况偏移的见解(例如最新的失败事件或状态从“成功”更改到“失败”)以及未授权操作的见解,并使用此信息创建通知和其他自动化操作。

若要从 SentinelHealth 数据表获取运行状况数据,或要从 SentinelAudit 数据表获取审核信息,必须先为工作区启用 Microsoft Sentinel 审核和运行状况监视功能。

本文介绍如何启用这些功能。

若要使用 API (Bicep/ARM/REST) 实现运行状况和审核功能,请查看诊断设置操作

若要为审核和运行状况事件配置保留时间,请参阅在 Azure Monitor 日志中配置数据保留和存档策略

重要

SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

数据表和资源类型

启用该功能后,将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

运行状况监视当前支持以下资源类型:

  • 分析规则(新增!)
  • 数据连接器
  • 自动化规则
  • Playbook(Azure 逻辑应用工作流)

    注意

    监视 playbook 运行状况时,还需要从 playbook 中收集 Azure 逻辑应用诊断事件,以全面了解 playbook 活动。 有关详细信息,请参阅监视自动化规则和 playbook 的运行状况

审核目前仅支持分析规则资源类型。

为工作区启用审核和运行状况监视

  1. 在 Microsoft Sentinel 中,在左侧的“配置”菜单下选择“设置”。

  2. 从横幅中选择“设置”。

  3. 向下滚动到下方显示的“审核和运行状况监视”部分,然后选择它进行展开。

  4. 选择“启用”可跨所有资源类型启用审核和运行状况监视,并将审核和监视数据仅发送到 Microsoft Sentinel 工作区。

    或者,选择“配置诊断设置”链接,仅为数据收集器和/或自动化资源启用运行状况监视,或者配置高级选项,例如数据发送的其他位置。

    Screenshot shows how to get to the health monitoring settings.

    如果选择了“启用”,则该按钮将灰显并更改为“启用...”,然后更改为“已启用”。 此时,审核和运行状况监视已启用,设置完成! 相应的诊断设置是在后台添加的,你可以通过选择“配置诊断设置”链接来查看和编辑它们。

  5. 如果选择了“配置诊断设置”,请在“诊断设置”屏幕中选择“+ 添加诊断设置”。

    (如果要编辑现有设置,请从诊断设置列表中选择。)

    • 在“诊断设置名称”字段中,为设置输入有意义的名称。

    • 在“日志”列中,为要监视的资源类型选择适当的“类别”,例如“数据收集 - 连接器”。 如果要监视分析规则,请选择“allLogs”。

    • 在“目标详细信息”下,选择“发送到 Log Analytics 工作区”,然后从下拉菜单中选择“订阅”和“Log Analytics 工作区”。

      Screenshot of diagnostic settings screen for enabling auditing and health monitoring.

      如果需要,还可以选择除 Log Analytics 工作区外的其他数据发送目标。

  6. 选择顶部横幅上的“保存”以保存新设置。

将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。

验证表是否正在接收数据

在“Microsoft Sentinel 日志”页中,对 SentinelHealth 表运行查询。 例如:

_SentinelHealth()
 | take 20

后续步骤