Microsoft Sentinel 中的审核和运行状况监视
Microsoft Sentinel 是一项关键服务,用于提升和保护组织的技术和信息资产的安全性,因此你需要确信它始终都会顺利运行且不受干扰。 你希望能够确保服务的许多移动部件始终按预期方式运行,并且服务不会受到未经授权的操作(无论是内部用户还是其他人的操作)的操纵。 你可能还希望配置运行状况变化通知或配置将未经授权的操作发送给可以响应或批准响应的相关利益干系人。 例如,可以设置条件,触发将电子邮件或 Microsoft Teams 消息发送给运营团队、经理或管理人员,在票证系统中启动新票证,等等。
本文介绍 Microsoft Sentinel 的运行状况监视和审核功能如何让你监视某些服务的关键资源的活动,并检查服务中用户操作的日志。
说明
本部分介绍运行状况监视和审核组件的功能和用例。
数据存储
运行状况和审核数据收集在 Log Analytics 工作区的两个表中:
- 运行状况数据收集在 SentinelHealth 表中。
- 审核数据收集到 SentinelAudit 表中。
使用此数据的普遍方式是查询这些表。
为了获得最佳结果,应对这些表的预生成函数 _SentinelHealth() 和 _SentinelAudit() 生成查询,而不是直接查询表。 这些函数可确保在更改表本身的架构时保持查询的向后兼容性。
重要
SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
监视 playbook 的运行状况时,除了 SentinelHealth 数据外,还需要从 playbook 中捕获 Azure 逻辑应用诊断事件,以便全面了解 playbook 活动。 Azure 逻辑应用程序诊断数据收集在工作区的 AzureDiagnostics 表中。
用例
健康产业
数据连接器是否正常运行?
数据连接器是否正在接收数据? 例如,如果已指示 Microsoft Sentinel 每 5 分钟运行一次查询,则需要检查该查询是否正在执行、如何执行以及是否存在与该查询相关的任何风险或漏洞。
自动化规则是否按预期运行?
你的自动化规则是否按预期运行 - 即是否在满足条件时运行? 自动化规则中的所有操作是否都已成功运行?
分析规则是否按预期运行?
分析规则是否按预期运行,是否生成了结果? 如果你希望在队列中看到特定事件,但没有看到,则你想知道规则是运行了,但找不到任何(或足够的)内容,或者根本没有运行。
审核
是否已对分析规则进行了未经授权的更改?
规则中有什么变化吗? 分析规则未给出预期的结果,并且没有任何运行状况问题。 你希望查看是否对规则进行了任何计划外更改,如果是,则查看进行了哪些更改、由谁、从何处以及何时进行了更改。
Microsoft Sentinel 如何呈现运行状况和审核数据
若要开始收集运行状况和审核数据,需要在 Microsoft Sentinel 设置中启用运行状况和审核监视 。 然后,可以深入了解 Microsoft Sentinel 收集的运行状况和审核数据:
从 Microsoft Sentinel“日志”边栏选项卡对 SentinelHealth 和 SentinelAudit 数据表运行查询。
- 数据连接器
- 自动化规则和 playbook(加入查询与 Azure 逻辑应用诊断)
- 分析规则
使用 Microsoft Sentinel 中提供的审核和运行状况监视工作簿。
将数据导出到各种目标,例如 Log Analytics 工作区、存档到存储帐户等。 了解日志支持的目标。
后续步骤
- 在 Microsoft Sentinel 中启用审核和运行状况监视。
- 监视自动化规则和 playbook 的运行状况。
- 监视数据连接器的运行状况。
- 监视分析规则的运行状况和完整性。
- 请参阅有关 SentinelHealth 和 SentinelAudit 表架构的更多信息。