Überwachen der Integrität Ihrer Datenconnectors

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Um eine vollständige und unterbrechungsfreie Datenerfassung in Ihrem Microsoft Sentinel-Dienst sicherzustellen, verfolgen Sie die Integrität, Konnektivität und Leistung Ihrer Datenconnectors nach.

Mit den folgenden Features können Sie diese Überwachung innerhalb von Microsoft Sentinel ausführen:

  • Arbeitsmappe zur Überwachung der Integrität der Datensammlung: Diese Arbeitsmappe stellt zusätzliche Monitore bereit, erkennt Anomalien und gibt Einblicke in die Datenerfassung des Arbeitsbereichs status. Sie können die Logik der Arbeitsmappe verwenden, um die allgemeine Integrität der erfassten Daten zu überwachen und benutzerdefinierte Ansichten und regelbasierte Warnungen zu erstellen.

  • SentinelHealth-Datentabelle: Das Abfragen dieser Tabelle bietet Einblicke in Integritätsabweichungen, z. B. aktuelle Fehlerereignisse pro Connector oder Connectors mit Änderungen von Erfolgs- zu Fehlerzuständen, die Sie zum Erstellen von Warnungen und anderen automatisierten Aktionen verwenden können. Die SentinelHealth-Datentabelle wird derzeit nur für ausgewählte Datenconnectors unterstützt.

  • Anzeigen der Integrität und status Ihrer verbundenen SAP-Systeme: Überprüfen Sie die Integritätsinformationen für Ihre SAP-Systeme unter dem SAP-Datenconnector, und verwenden Sie eine Warnungsregelvorlage, um Informationen zur Integrität der Datensammlung des SAP-Agents abzurufen.

Verwenden der Arbeitsmappe für die Integritätsüberwachung

Installieren Sie zunächst die Arbeitsmappe zur Überwachung der Integrität der Datensammlung aus dem Inhaltshub, und zeigen Sie eine Kopie der Vorlage im Abschnitt Arbeitsmappen von Microsoft Sentinel an oder erstellen sie.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltungdie Option Inhaltshub aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Content Management>Content Hub aus.

  2. Geben Sie im Inhaltshubintegrität in die Suchleiste ein, und wählen Sie in den Ergebnissen Integritätsüberwachung der Datensammlung aus.

  3. Wählen Sie im Detailbereich Installieren aus. Wenn eine Benachrichtigung angezeigt wird, dass die Arbeitsmappe installiert ist, oder wenn anstelle von Installierendie Option Konfiguration angezeigt wird, fahren Sie mit dem nächsten Schritt fort.

  4. Wählen Sie Microsoft Sentinel unter Bedrohungsverwaltungdie Option Arbeitsmappen aus.

  5. Wählen Sie auf der Seite Arbeitsmappen die Registerkarte Vorlagen aus, geben Sie integrität in die Suchleiste ein, und wählen Sie aus den Ergebnissen Überwachung der Integrität der Datensammlung aus.

  6. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe unverändert zu verwenden, oder wählen Sie Speichern aus, um eine bearbeitbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wird, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.

  7. Nachdem Sie sich in der Arbeitsmappe befinden, wählen Sie zuerst das Abonnement und den Arbeitsbereich aus, das Sie anzeigen möchten, und definieren Sie dann timeRange , um die Daten nach Ihren Anforderungen zu filtern. Verwenden Sie die Umschaltfläche Hilfe anzeigen , um eine direkte Erklärung der Arbeitsmappe anzuzeigen.

    Landing Page der Arbeitsmappe zur Integritätsüberwachung des Datenconnectors

Diese Arbeitsmappe enthält drei Abschnitte im Registerkartenformat:

  • Auf der Registerkarte Übersicht werden die allgemeinen status der Datenerfassung im ausgewählten Arbeitsbereich angezeigt: Volumenmeasures, EPS-Raten und Zeitpunkt des letzten Empfangens des Protokolls.

  • Die Registerkarte Datensammlungsanomalien hilft Ihnen, Anomalien im Datensammlungsprozess nach Tabelle und Datenquelle zu erkennen. Jede Registerkarte enthält Anomalien für eine bestimmte Tabelle (die Registerkarte Allgemein enthält eine Auflistung von Tabellen). Die Anomalien werden mithilfe der funktion series_decompose_anomalies() berechnet, die eine Anomaliebewertung zurückgibt. Erfahren Sie mehr über diese Funktion. Legen Sie die folgenden Parameter für die Auswertung der Funktion fest:

    • AnomaliesTimeRange: Dieses Mal gilt die Auswahl nur für die Datensammlungsanomalienansicht.

    • SampleInterval: Das Zeitintervall, in dem Daten im angegebenen Zeitbereich abgetastet werden. Die Anomaliebewertung wird nur für die Daten des letzten Intervalls berechnet.

    • PositiveAlertThreshold: Dieser Wert definiert den Schwellenwert für die positive Anomaliebewertung. Sie akzeptiert Dezimalwerte.

    • NegativeAlertThreshold: Dieser Wert definiert den Schwellenwert für die negative Anomaliebewertung. Sie akzeptiert Dezimalwerte.

      Seite

  • Auf der Registerkarte Agent-Informationen finden Sie Informationen zur Integrität der Agents, die auf Ihren verschiedenen Computern installiert sind, unabhängig davon, ob Azure VM, andere Cloud-VM, lokale vm oder physisch. Überwachen Sie den Systemspeicherort, takt status und Latenz, den verfügbaren Arbeitsspeicher und Speicherplatz sowie Agent-Vorgänge.

    In diesem Abschnitt müssen Sie die Registerkarte auswählen, die die Umgebung Ihrer Computer beschreibt: Wählen Sie die Registerkarte Azure verwaltete Computer aus, wenn Sie nur die Azure von Arc verwalteten Computer anzeigen möchten. Wählen Sie die Registerkarte Alle Computer aus, um sowohl verwaltete als auch nicht Azure Computer anzuzeigen, auf denen der Azure Monitor-Agent installiert ist.

    Infoseite des Arbeitsmappen-Agents zur Integritätsüberwachung des Datenconnectors

Verwenden der SentinelHealth-Datentabelle

Um Datenconnector-Integritätsdaten aus der SentinelHealth-Datentabelle abzurufen, müssen Sie zuerst das Feature Microsoft Sentinel Integrität für Ihren Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren der Integritätsüberwachung für Microsoft Sentinel.

Sobald das Integritätsfeature aktiviert ist, wird die SentinelHealth-Datentabelle beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Datenconnectors generiert wird.

Unterstützte Datenconnectors

Die SentinelHealth-Datentabelle wird derzeit nur für die folgenden Datenconnectors unterstützt:

Grundlegendes zu SentinelHealth-Tabellenereignissen

Die folgenden Arten von Integritätsereignissen werden in der SentinelHealth-Tabelle protokolliert:

  • Datenabruf status Änderung. Einmal pro Stunde protokolliert, solange ein Datenconnector status stabil bleibt, mit kontinuierlichen Erfolgs- oder Fehlerereignissen. Solange sich die status eines Datenconnectors nicht ändert, funktioniert die Überwachung nur stündlich, um redundante Überwachung zu verhindern und die Tabellengröße zu reduzieren. Wenn die status des Datenconnectors kontinuierliche Fehler aufweist, sind zusätzliche Details zu den Fehlern in der Spalte ExtendedProperties enthalten.

    Wenn sich die status des Datenconnectors von einem Erfolg zu einem Fehler, von einem Fehler zu einem Erfolg ändert oder Änderungen an den Fehlerursachen aufweist, wird das Ereignis sofort protokolliert, damit Ihr Team proaktive und sofortige Maßnahmen ergreifen kann.

    Potenziell vorübergehende Fehler, z. B. die Drosselung des Quelldiensts, werden erst protokolliert, nachdem sie länger als 60 Minuten fortgesetzt wurden. Diese 60 Minuten ermöglichen es Microsoft Sentinel, ein vorübergehendes Problem im Back-End zu beheben und die Daten aufzuholen, ohne dass eine Benutzeraktion erforderlich ist. Fehler, die definitiv nicht vorübergehend sind, werden sofort protokolliert.

  • Fehlerzusammenfassung. Einmal pro Stunde pro Connector und Arbeitsbereich mit einer aggregierten Fehlerzusammenfassung protokolliert. Fehlerzusammenfassungsereignisse werden nur erstellt, wenn beim Connector während der angegebenen Stunde Abruffehler aufgetreten sind. Sie enthalten alle zusätzlichen Details in der Spalte ExtendedProperties , z. B. den Zeitraum, für den die Quellplattform des Connectors abgefragt wurde, und eine eindeutige Liste der Fehler, die während des Zeitraums aufgetreten sind.

Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.

Ausführen von Abfragen zum Erkennen von Integritätsabweichungen

Erstellen Sie Abfragen für die SentinelHealth-Tabelle , um Integritätsabweichungen in Ihren Datenconnectors zu erkennen. Zum Beispiel:

Erkennen der neuesten Fehlerereignisse pro Connector:

SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'

Erkennen von Connectors mit Änderungen vom Status "Fehler" zu "Erfolg":

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'

Erkennen von Connectors mit Änderungen vom Status "Erfolg" in "Fehler":

let latestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextTolatestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (latestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
latestStatus
| join kind=inner (nextTolatestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'

Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

Konfigurieren von Warnungen und automatisierten Aktionen für Integritätsprobleme

Sie können zwar die Microsoft Sentinel-Analyseregeln verwenden, um die Automatisierung in Microsoft Sentinel Protokollen zu konfigurieren. Wenn Sie jedoch benachrichtigt werden und sofortige Maßnahmen für Integritätsabweichungen in Ihren Datenconnectors ergreifen möchten, empfehlen wir Ihnen, Azure Warnungsregeln zu verwenden.

Zum Beispiel:

  1. Wählen Sie in einer Azure Warnungsregel Überwachen Ihren Microsoft Sentinel Arbeitsbereich als Regelbereich und die benutzerdefinierte Protokollsuche als erste Bedingung aus.

  2. Passen Sie die Warnungslogik nach Bedarf an, z. B. Häufigkeit oder Lookbackdauer, und verwenden Sie dann Abfragen , um nach Integritätsabweichungen zu suchen.

  3. Wählen Sie für die Regelaktionen eine vorhandene Aktionsgruppe aus, oder erstellen Sie je nach Bedarf eine neue Aktionsgruppe, um Pushbenachrichtigungen oder andere automatisierte Aktionen wie das Auslösen einer Logik-App, eines Webhooks oder einer Azure-Funktion in Ihrem System zu konfigurieren.

Weitere Informationen finden Sie unter Azure Überwachen von Warnungen – Übersicht und Azure Überwachen von Warnungen.

Nächste Schritte

  • Last updated on