Microsoft Sentinel 中的审核和运行状况监视

Microsoft Sentinel 是一项关键服务,用于提升和保护组织的技术和信息资产的安全性,因此你需要确信它始终都会顺利运行且不受干扰。

你希望确认服务的许多移动部件始终按预期方式运行,并且服务不受未经授权的操作(无论是内部用户还是其他人的操作)控制。 你可能还希望配置运行状况变化通知或配置将未经授权的操作发送给可以响应或批准响应的相关利益干系人。 例如,可以设置条件来触发向运营团队、经理或主管发送电子邮件、在票务系统中启动新票务,等等。

本文介绍 Microsoft Sentinel 的运行状况监视和审核功能如何让你监视某些服务的关键资源的活动,并检查服务中用户操作的日志。

运行状况和审核数据存储

运行状况和审核数据收集在 Log Analytics 工作区的两个表中:SentinelHealthSentinelAudit

审核数据收集到 SentinelAudit 表中。

运行状况数据收集到 SentinelHealth 表中,该表会捕获每次运行自动化规则时记录的事件以及这些运行的最终结果。 SentinelHealth 表包含:

  • 规则中启动的操作是成功还是失败,以及规则调用的 playbook。
  • 记录按需(手动或基于 API)触发 playbook 的事件,包括触发它们的标识,以及这些运行的最终结果

SentinelHealth 表不包含 playbook 内容的执行记录,仅包含 playbook 是否成功启动。 Playbook 中执行的操作日志(逻辑应用工作流)列在 AzureDiagnostics 表中。 AzureDiagnostics 提供了与 SentinelHealth 数据结合使用时的自动化运行状况的完整图示。

使用此数据的最普遍方式是查询这些表。 为了获得最佳结果,应对这些表的预生成函数_SentinelHealth()_SentinelAudit())生成查询,而不是直接查询表。 这些函数可确保在更改表本身的架构时保持查询的向后兼容性。

SentinelHealth 表不可计费,也不会因为引入运行状况数据而产生任何费用。 SentinelAudit 表可计费,与 Microsoft Sentinel 的其他区域一样,产生的费用取决于日志量,而日志量可能会受到活动数量和对相关规则的更改的影响。 有关详细信息,请参阅计划成本并了解 Microsoft Sentinel 定价和计费

重要

SentinelHealth 和 SentinelAudit 数据表目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

验证服务运行状况和审核数据的问题

使用以下问题指导你监视 Microsoft Sentinel 的运行状况和审核数据:

数据连接器是否正常运行?

数据连接器是否正在接收数据? 例如,如果已指示 Microsoft Sentinel 每 5 分钟运行一次查询,则需要检查该查询是否正在执行、如何执行以及是否存在与该查询相关的任何风险或漏洞。

自动化规则是否按预期运行?

你的自动化规则是否按预期运行 - 即是否在满足条件时运行? 自动化规则中的所有操作是否都已成功运行?

分析规则是否按预期运行?

分析规则是否按预期运行,是否生成了结果? 如果你希望在队列中看到特定事件,但没有看到,则你想知道规则是运行了,但找不到任何(或足够的)内容,或者根本没有运行。

是否已对分析规则进行了未经授权的更改?

规则中有什么变化吗? 分析规则未给出预期的结果,并且没有任何运行状况问题。 你希望查看是否对规则进行了任何计划外更改,如果是,则查看进行了哪些更改、由谁、从何处以及何时进行了更改。

运行状况和审核监视流

若要开始收集运行状况和审核数据,需要在 Microsoft Sentinel 设置中启用运行状况和审核监视 。 然后,可以深入了解 Microsoft Sentinel 收集的运行状况和审核数据:

活动 详细信息
从 Microsoft Sentinel“日志”页面对 SentinelHealth 和 SentinelAudit 数据表运行查询
  • 数据连接器
  • 自动化规则和 playbook(加入查询与 Azure 逻辑应用诊断)
  • 分析规则
  • 使用 Microsoft Sentinel 中提供的审核和运行状况监视工作簿
  • 数据连接器
  • 分析规则
  • 将数据导出到各种目标,例如 Log Analytics 工作区、存档到存储帐户等
  • Azure Monitor 中的诊断设置