Overvåg tilstanden af dine dataconnectors

Hvis du vil sikre fuldstændig og uafbrudt dataindtagelse i din Microsoft Sentinel tjeneste, skal du holde styr på dine dataconnectors tilstand, forbindelse og ydeevne.

Følgende funktioner giver dig mulighed for at udføre denne overvågning inde fra Microsoft Sentinel:

• Projektmappe til overvågning af tilstand af dataindsamling: Denne projektmappe indeholder yderligere skærme, registrerer uregelmæssigheder og giver indsigt i arbejdsområdets dataindtagelsesstatus. Du kan bruge projektmappens logik til at overvåge den generelle tilstand af de data, der indtages, og til at oprette brugerdefinerede visninger og regelbaserede beskeder.

• SentinelHealth-datatabel: Forespørgsel i denne tabel giver indsigt i tilstandsdrift, f.eks. seneste fejlhændelser pr. connector, eller forbindelser med ændringer fra succes til fejltilstande, som du kan bruge til at oprette beskeder og andre automatiserede handlinger. Datatabellen SentinelHealth understøttes i øjeblikket kun for valgte dataconnectors.

• Få vist tilstanden og status for dine forbundne SAP-systemer: Gennemse tilstandsoplysninger for dine SAP-systemer under SAP-dataconnectoren, og brug en skabelon for påmindelsesregel til at få oplysninger om tilstanden af SAP-agentens dataindsamling.

Brug projektmappen til tilstandsovervågning

For at komme i gang skal du installere projektmappen tilstandsovervågning af dataindsamling fra Indholdshubben og få vist eller oprette en kopi af skabelonen fra afsnittet Projektmapper i Microsoft Sentinel.

1. For Microsoft Sentinel i Azure Portal under Indholdsstyring skal du vælge Indholdshub.
   For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Indholdshub til administration> afindhold.

2. I indholdshubben skal du angive tilstand på søgelinjen og vælge Overvågning af tilstand for dataindsamling blandt resultaterne.

3. Vælg Installér i detaljeruden. Når du får vist en meddelelse om, at projektmappen er installeret, eller hvis du i stedet for Installér får vist Konfiguration, skal du gå til næste trin.

4. Vælg Projektmapper under Trusselsadministration i Microsoft Sentinel.

5. På siden Projektmapper skal du vælge fanen Skabeloner , angive tilstanden på søgelinjen og vælge Overvågning af tilstand af dataindsamling blandt resultaterne.

6. Vælg Vis skabelon for at bruge projektmappen, som den er, eller vælg Gem for at oprette en redigerbar kopi af projektmappen. Når kopien er oprettet, skal du vælge Vis gemt projektmappe.

7. Når du er i projektmappen, skal du først vælge det abonnement og arbejdsområde , du vil have vist, og derefter definere TimeRange for at filtrere dataene efter dine behov. Brug til/fra-knappen Vis Hjælp til at få vist forklaringen på projektmappen på stedet.

   

Der er tre faneinddelte sektioner i denne projektmappe:

• Fanen Oversigt viser den generelle status for dataindtagelse i det valgte arbejdsområde: volumenmålinger, EPS-priser og tidspunkt for seneste modtagelse af logfil.

• Fanen Uregelmæssigheder i dataindsamling hjælper dig med at registrere uregelmæssigheder i dataindsamlingsprocessen efter tabel og datakilde. Hver fane viser uregelmæssigheder for en bestemt tabel (fanen Generelt indeholder en samling tabeller). Uregelmæssighederne beregnes ved hjælp af funktionen series_decompose_anomalies(), der returnerer en score for uregelmæssigheder. Få mere at vide om denne funktion. Angiv følgende parametre for den funktion, der skal evalueres:

  • AnomaliesTimeRange: Denne tidsvælger gælder kun for visningen af uregelmæssigheder i dataindsamling.

  • SampleInterval: Det tidsinterval, hvor der udtages stikprøver af data i det angivne tidsinterval. Scoren for uregelmæssigheder beregnes kun på det sidste intervals data.

  • PositiveAlertThreshold: Denne værdi definerer grænsen for score for positive uregelmæssigheder. Den accepterer decimalværdier.

  • NegativeAlertThreshold: Denne værdi definerer tærsklen for negativ score for uregelmæssigheder. Den accepterer decimalværdier.

    

• Under fanen Agentoplysninger kan du se oplysninger om tilstanden for de agenter, der er installeret på dine forskellige maskiner, uanset om det er Azure VM, anden cloud-VM, vm i det lokale miljø eller fysisk. Overvåg systemets placering, impulsstatus og ventetid, tilgængelig hukommelse og diskplads samt agenthandlinger.

  I dette afsnit skal du vælge den fane, der beskriver maskinernes miljø: Vælg fanen Azure-administrerede maskiner, hvis du kun vil have vist de Azure Arc-administrerede maskiner. Vælg fanen Alle maskiner for at få vist både administrerede og ikke-Azure computere, hvor Azure Monitor Agent er installeret.

  

Brug datatabellen SentinelHealth

Hvis du vil hente dataconnectortilstandsdata fra datatabellen SentinelHealth, skal du først aktivere funktionen Microsoft Sentinel tilstand for dit arbejdsområde. Du kan få flere oplysninger under Slå tilstandsovervågning til for Microsoft Sentinel.

Når tilstandsfunktionen er slået til, oprettes datatabellen SentinelHealth ved den første succes- eller fejlhændelse, der genereres for dine dataconnectors.

Understøttede dataconnectors

Datatabellen SentinelHealth understøttes i øjeblikket kun for følgende dataconnectors:

• Amazon Web Services (CloudTrail og S3)
• Dynamics 365
• Office 365
• Microsoft Defender for Endpoint
• Threat Intelligence – TAXII
• Threat Intelligence-platforme
• Alle forbindelser, der er baseret på Codeless Connector Framework

Om Hændelser i tabellen SentinelHealth

Følgende typer tilstandshændelser logføres i tabellen SentinelHealth :

• Status for hentning af data ændres. Logføres en gang i timen, så længe en dataconnectorstatus forbliver stabil med enten kontinuerlige succes- eller fejlhændelser. Så længe en dataconnectors status ikke ændres, fungerer overvågning kun én time for at forhindre redundant overvågning og reducere tabelstørrelsen. Hvis dataconnectorens status har fortløbende fejl, medtages flere oplysninger om fejlene i kolonnen ExtendedProperties .

  Hvis dataconnectorens status ændres enten fra en succes til en fejl, fra mislykket til mislykket eller har ændringer i fejlårsager, logføres hændelsen med det samme for at give dit team mulighed for at udføre proaktive og øjeblikkelige handlinger.

  Potentielt midlertidige fejl, f.eks. begrænsning af kildetjenesten, logføres kun, når de har fortsættet i mere end 60 minutter. Disse 60 minutter gør det muligt for Microsoft Sentinel at løse et midlertidigt problem i backend og indhente dataene uden at kræve nogen brugerhandling. Fejl, der bestemt ikke midlertidige logføres med det samme.

• Fejloversigt. Logført én gang i timen, pr. connector, pr. arbejdsområde, med en samlet fejloversigt. Hændelser i fejloversigten oprettes kun, når connectoren har oplevet forespørgselsfejl i løbet af den angivne time. De indeholder eventuelle ekstra oplysninger, der er angivet i kolonnen ExtendedProperties , f.eks. den tidsperiode, hvor connectorens kildeplatform blev forespurgte, og en særskilt liste over fejl, der opstod i tidsperioden.

Du kan få flere oplysninger under Tabelkolonneskema for SentinelHealth.

Kør forespørgsler for at registrere tilstandsdrift

Opret forespørgsler i tabellen SentinelHealth for at hjælpe dig med at registrere tilstandsdrift i dine dataconnectors. Det kan f.eks. være:

Registrer seneste fejlhændelser pr. connector:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Registrer connectors med ændringer fra mislykket til udført tilstand:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Registrer connectors med ændringer fra udført til mislykket tilstand:

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

• let-sætning
• where-operator
• projektoperatør
• opsummeringsoperator
• joinoperator
• funktionen ago()
• arg_max() sammenlægningsfunktion

Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

Andre ressourcer:

• Hurtig reference til KQL
• Kusto-undervisningsressourcer til forespørgselssprog

Konfigurer beskeder og automatiserede handlinger for tilstandsproblemer

Selvom du kan bruge reglerne for Microsoft Sentinel analyse til at konfigurere automatisering i Microsoft Sentinel logge, anbefaler vi, at du bruger Azure Overvåg beskedregler, hvis du vil have besked og straks reagere på tilstandsdrift i dine dataconnectors.

Det kan f.eks. være:

1. I en Azure overvåg påmindelsesregel skal du vælge dit Microsoft Sentinel arbejdsområde som regelomfang og Brugerdefineret logsøgning som den første betingelse.

2. Tilpas beskedlogikken efter behov, f.eks. hyppighed eller varighed af tilbagesendelse, og brug derefter forespørgsler til at søge efter tilstandsdrift.

3. For regelhandlinger skal du vælge en eksisterende handlingsgruppe eller oprette en ny efter behov for at konfigurere pushmeddelelser eller andre automatiserede handlinger, f.eks. udløse en Logic App, Webhook eller Azure Funktion i dit system.

Du kan få flere oplysninger i oversigt over Azure Overvåg beskeder og Azure Overvåg beskedlog.

Næste trin

• Få mere at vide om overvågning og overvågning af tilstand i Microsoft Sentinel.
• Slå overvågning og tilstandsovervågning til i Microsoft Sentinel.
• Overvåg tilstanden af dine automatiseringsregler og -playbooks.
• Overvåg tilstanden og integriteten af dine analyseregler.
• Se flere oplysninger om tabelskemaerne SentinelHealth og SentinelAudit .