为 Microsoft Sentinel 启用审核和运行状况监视(预览版)
通过在 Microsoft Sentinel 的“设置”页面中启用审核和运行状况监视功能来监视受支持的 Microsoft Sentinel 资源的运行状况并审核其完整性。 获取运行状况偏移的见解(例如最新的失败事件或状态从“成功”更改到“失败”)以及未授权操作的见解,并使用此信息创建通知和其他自动化操作。
若要从 SentinelHealth 数据表获取运行状况数据,或要从 SentinelAudit 数据表获取审核信息,必须先为工作区启用 Microsoft Sentinel 审核和运行状况监视功能。 本文介绍如何启用这些功能。
若要使用 API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) 实现运行状况和审核功能,请查看诊断设置操作。 若要配置审核和运行状况事件的保留时间,请参阅管理 Log Analytics 工作区中的数据保留。
重要
SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
- 在开始之前,在 Microsoft Sentinel 中了解有关运行状况监视和审核的详细信息。 有关详细信息,请参阅 Microsoft Sentinel 中的审核和运行状况监视。
为工作区启用审核和运行状况监视
开始时,从 Microsoft Sentinel 设置启用审核和运行状况监视。
在 Azure 门户中,在“配置”下选择“设置”>“设置”。
向下滚动到“审核和运行状况监视”部分,然后选中它以展开。
选择“启用”可跨所有资源类型启用审核和运行状况监视,并将审核和监视数据仅发送到 Microsoft Sentinel 工作区。
或者,选择“配置诊断设置”链接,仅为数据收集器和/或自动化资源启用运行状况监视,或者配置高级选项,例如数据发送的更多位置。
如果选择了“启用”,则该按钮将灰显并更改为“启用...”,然后更改为“已启用”。 此时,审核和运行状况监视已启用,设置完成! 相应的诊断设置是在后台添加的,你可以通过选择“配置诊断设置”链接来查看和编辑它们。
如果选择了“配置诊断设置”,请在“诊断设置”屏幕中选择“+ 添加诊断设置”。
(如果要编辑现有设置,请从诊断设置列表中选择。)
在“诊断设置名称”字段中,为设置输入有意义的名称。
在“日志”列中,为要监视的资源类型选择适当的“类别”,例如“数据收集 - 连接器”。 如果要监视分析规则,请选择“allLogs”。
在“目标详细信息”下,选择“发送到 Log Analytics 工作区”,然后从下拉菜单中选择“订阅”和“Log Analytics 工作区”。
如果需要,还可以选择除 Log Analytics 工作区外的其他数据发送目标。
选择顶部横幅上的“保存”以保存新设置。
将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。
验证表是否正在接收数据
在 Azure 门户中运行 Kusto 查询语言 (KQL) 查询,以确保获得运行状况和审核数据。
在 Azure 门户中,在“常规”下选择“日志”。
对 SentinelHealth 表运行查询。 例如:
_SentinelHealth() | take 20
对 SentinelAudit 表运行查询。 例如:
_SentinelAudit() | take 20
支持的数据表和资源类型
启用该功能后,将在为所选资源生成第一个事件时创建 SentinelHealth 和 SentinelAudit 数据表。
Microsoft Sentinel 运行状况监视当前支持以下类型的资源:
- 分析规则
- 数据连接器
- 自动化规则
- playbook(Azure 逻辑应用工作流)
注意
监视 playbook 运行状况时,请确保从 playbook 中收集 Azure 逻辑应用诊断事件,以全面了解你的 playbook 活动。 有关详细信息,请参阅监视自动化规则和 playbook 的运行状况。
审核目前仅支持分析规则资源类型。