De status bewaken en de integriteit van uw analyseregels controleren

Houd de status en integriteit van uw analyseregels bij om uitgebreide, ononderbroken en manipulatievrije detectie van bedreigingen in uw Microsoft Sentinel-service te garanderen. Zorg ervoor dat ze optimaal functioneren door hun uitvoerings-inzichten te bewaken, door query's uit te voeren op de status- en auditlogboeken en door handmatig opnieuw uit te voeren om uw regels te testen en te optimaliseren.

Stel meldingen van status- en controlegebeurtenissen in voor relevante belanghebbenden, die vervolgens actie kunnen ondernemen. U kunt bijvoorbeeld e-mail of Microsoft Teams-berichten definiëren en verzenden, nieuwe tickets maken in uw ticketsysteem, enzovoort.

In dit artikel wordt beschreven hoe u de controle- en statuscontrolefuncties van Microsoft Sentinel gebruikt om de status en integriteit van uw analyseregels bij te houden vanuit Microsoft Sentinel.

Zie De uitvoering van uw geplande analyseregels bewaken en optimaliseren voor meer informatie over inzichten in regels en het handmatig opnieuw uitvoeren van regels.

Samenvatting

  • Microsoft Sentinel logboeken voor de status van de analyseregel:

    • In dit logboek worden gebeurtenissen vastgelegd die het uitvoeren van analyseregels vastleggen, en het eindresultaat van deze uitvoeringen, als ze zijn geslaagd of mislukt, en als ze zijn mislukt, waarom.
    • Het logboek registreert ook voor elke uitvoering van een analyseregel:
      • Hoeveel gebeurtenissen de regelquery heeft vastgelegd.
      • Hiermee geeft u aan of het aantal gebeurtenissen de drempelwaarde heeft overschreden die in de regel is gedefinieerd, waardoor de regel een waarschuwing heeft geactiveerd.

    Deze logboeken worden verzameld in de tabel SentinelHealth in Log Analytics.

  • Microsoft Sentinel auditlogboeken voor analyseregels:

    • In dit logboek worden gebeurtenissen vastgelegd die wijzigingen in een analyseregel vastleggen, met inbegrip van de volgende details:
      • De naam van de regel die is gewijzigd.
      • Welke eigenschappen van de regel zijn gewijzigd.
      • De status van de regelinstellingen voor en na de wijziging.
      • De gebruiker of identiteit die de wijziging heeft aangebracht.
      • Het bron-IP-adres en de datum/tijd van de wijziging.
      • ... en meer.

    Deze logboeken worden verzameld in de tabel SentinelAudit in Log Analytics.

De gegevenstabellen SentinelHealth en SentinelAudit gebruiken

Als u controle- en statusgegevens wilt ophalen uit de tabellen die eerder zijn beschreven, moet u eerst de functie Microsoft Sentinel status voor uw werkruimte inschakelen. Zie Controle en statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.

Zodra de statusfunctie is ingeschakeld, wordt de gegevenstabel SentinelHealth gemaakt bij de eerste geslaagde of mislukte gebeurtenis die is gegenereerd voor uw automatiseringsregels en playbooks.

Informatie over tabelgebeurtenissen SentinelHealth en SentinelAudit

De tabel SentinelHealth registreert de volgende typen statusgebeurtenissen voor analyseregels:

  • Geplande analyseregel uitvoeren.
  • NRT-analyseregel uitvoeren.

Zie Het schema voor tabelkolommen van SentinelHealth voor meer informatie.

In de tabel SentinelAudit worden de volgende typen controlegebeurtenissen voor analyseregels vastgelegd:

  • Analyseregel maken of bijwerken.
  • Analyseregel verwijderd.

Zie Tabelkolommenschema SentinelAudit voor meer informatie.

Query's uitvoeren om status- en integriteitsproblemen te detecteren

Voor de beste resultaten bouwt u uw query's op de vooraf gedefinieerde functies voor deze tabellen, _SentinelHealth() en _SentinelAudit(), in plaats van rechtstreeks een query uit te voeren op de tabellen. Deze functies behouden de achterwaartse compatibiliteit van uw query's als er wijzigingen worden aangebracht in het schema van de tabellen.

Als eerste stap filtert u de tabellen op gegevens met betrekking tot analyseregels. Gebruik de SentinelResourceType parameter.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Desgewenst kunt u de lijst verder filteren op een bepaald soort analyseregel. Gebruik hiervoor de SentinelResourceKind parameter.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Hier volgen enkele voorbeeldquery's om u op weg te helpen:

  • Regels zoeken die 'automatisch kunnen worden gesynchroniseerd':

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Tel de regels en uitvoeringen die zijn geslaagd of mislukt, op reden:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Regelverwijderingsactiviteit zoeken:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Activiteit zoeken op regels, op regelnaam en activiteitsnaam:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Activiteit zoeken op regels, op naam van de aanroeper (de identiteit die de activiteit heeft uitgevoerd):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

Geplande regels

Wanneer een planningsregel mislukt, wordt deze vijf keer opnieuw geprobeerd in exact hetzelfde venster. De regel slaat het venster niet over en mist een waarschuwing zolang een van de zes pogingen is geslaagd.

Een fout in een van de zes pogingen duidt op een vertraging in het activeren van de waarschuwing. Met de volgende query wordt de exacte vertraging berekend:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Gebruik de volgende query om te zoeken naar volledige fouten (een venster dat is overgeslagen):

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Met deze query wordt gezocht naar geplande analyseregeluitvoeringen waarbij geen van de zes nieuwe pogingen is geslaagd. U kunt een nieuwe poging identificeren door te kijken naar de begintijd van het venster van de regel, omdat de nieuwe pogingen altijd kijken naar de oorspronkelijke begintijd. Deze query geeft u het aantal overgeslagen vensters voor elke analyseregel. We verwachten dat overgeslagen vensters zeldzaam zijn. Als u ziet dat u analyseregels hebt met overgeslagen vensters, gebruikt u de query's om inzicht te krijgen in de reden van de fout van deze specifieke regels en de tabel met oorzaken en oplossingen voor fouten om deze op te lossen.

NRT-regels

Het mechanisme voor opnieuw proberen voor NRT-regels gedraagt zich anders dan geplande regels. Als een regel niet kan worden uitgevoerd, houdt het systeem ook rekening met het mislukte venster in de volgende uitvoering (één minuut later). Dit gedrag duurt maximaal 60 fouten (één uur).

Aangezien één fout van een specifieke uitvoering slechts één minuut vertraging weerspiegelt, moet u niet naar enkele fouten kijken. Gebruik in plaats daarvan de volgende query om de vertraging van elke analyseregel te controleren:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

U kunt ook een analyseregel definiëren om waarschuwingen te activeren bij aanzienlijke vertragingen (bijvoorbeeld als een NRT-regel een vertraging van meer dan 10 minuten heeft).

Statussen, fouten en voorgestelde stappen

Voor geplande analyseregeluitvoering of NRT-analyseregeluitvoering ziet u mogelijk een van de volgende statussen en beschrijvingen:

  • Geslaagd: de regel is uitgevoerd en er worden waarschuwingen gegenereerd <n> .

  • Geslaagd: de regel is uitgevoerd, maar heeft de drempelwaarde () niet bereikt die<n> nodig is om een waarschuwing te genereren.

  • Fout: in deze beschrijvingen wordt uitgelegd wat de fout van de regel is en wat u eraan kunt doen.

    Beschrijving Herstellen
    Er is een interne serverfout opgetreden tijdens het uitvoeren van de query.
    Er is een time-out opgetreden voor de uitvoering van de query.
    Er is geen tabel gevonden waarnaar in de query wordt verwezen. Controleer of de relevante gegevensbron is verbonden.
    Er is een semantische fout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    Een functie die door de query wordt aangeroepen, heeft een naam met een gereserveerd woord. Verwijder of wijzig de naam van de functie.
    Er is een syntaxisfout opgetreden tijdens het uitvoeren van de query. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    De werkruimte bestaat niet.
    Deze query gebruikt te veel systeembronnen en kan niet worden uitgevoerd. Controleer en stem de analyseregel af. Raadpleeg ons Kusto-querytaal overzicht en de documentatie met aanbevolen procedures.
    Er is geen functie gevonden die door de query is aangeroepen. Controleer of in uw werkruimte alle functies bestaan die door de query worden aangeroepen.
    De werkruimte die in de query wordt gebruikt, is niet gevonden. Controleer of alle werkruimten in de query bestaan.
    U bent niet gemachtigd om deze query uit te voeren. Probeer de analyseregel opnieuw in te stellen door deze te bewerken en op te slaan (zonder instellingen te wijzigen).
    U hebt geen toegangsmachtigingen voor een of meer resources in de query.
    De query verwijst naar een opslagpad dat niet is gevonden.
    De query is de toegang tot een opslagpad geweigerd.
    In deze werkruimte worden meerdere functies met dezelfde naam gedefinieerd. Verwijder of wijzig de naam van de redundante functie en stel de regel opnieuw in door deze te bewerken en op te slaan.
    Deze query heeft geen resultaat geretourneerd.
    Meerdere resultatensets in deze query zijn niet toegestaan.
    Queryresultaten bevatten inconsistent aantal velden per rij.
    De uitvoering van de regel is vertraagd vanwege lange gegevensopnametijden.
    De uitvoering van de regel is vertraagd vanwege tijdelijke problemen.
    De waarschuwing is niet verrijkt vanwege tijdelijke problemen.
    De waarschuwing is niet verrijkt vanwege problemen met entiteitstoewijzing.
    < Nummer> entiteiten zijn verwijderd in waarschuwingsnaam>< vanwege de limiet van 32 kB voor waarschuwingsgrootte.
    < Nummer> entiteiten zijn verwijderd in de naam> van de waarschuwing < vanwege problemen met entiteitstoewijzing.
    De query heeft geresulteerd in <aantal> gebeurtenissen, die het maximum aantal toegestane limietresultaten> overschrijdt voor <regeltyperegels> met configuratie voor het groeperen van < waarschuwingen per rij. Waarschuwing per rij is gegenereerd voor de eerste <limiet-1-gebeurtenissen> en er is een extra geaggregeerde waarschuwing gegenereerd om rekening te houden met alle gebeurtenissen.
    - <getal> = aantal gebeurtenissen dat door de query wordt geretourneerd
    - <limiet> = momenteel 150 waarschuwingen voor geplande regels, 30 voor NRT-regels
    - <regeltype> = Gepland of NRT

De werkmap controle en statuscontrole gebruiken

  1. Als u de werkmap beschikbaar wilt maken in uw werkruimte, installeert u de werkmapoplossing vanuit de Microsoft Sentinel content hub:

    1. Selecteer inhoudshub (preview) in het menu Inhoudsbeheer in de Microsoft Sentinel-portal.

    2. Voer in de hub Inhoudstatus in de zoekbalk in en selecteer Analytics Health & Audit uit de werkmapoplossingen onder Zelfstandig in de resultaten.

      Schermopname van de selectie van een werkmap voor de analysestatus in de inhoudshub.

    3. Selecteer Installeren in het detailvenster en selecteer vervolgens Opslaan dat in de plaats wordt weergegeven.

  2. Wanneer de oplossing aangeeft dat deze is geïnstalleerd, selecteert u Werkmappen in het menu Bedreigingsbeheer.

    Schermopname van de indicatie dat de oplossing voor de analysestatuswerkmap is geïnstalleerd vanuit content hub.

  3. Selecteer in de galerie Werkmappen het tabblad Sjablonen , voer status in de zoekbalk in en selecteer Analytics Health & Audit uit de resultaten.

    Schermopname van het selecteren van een werkmap voor de analysestatus in de sjabloongalerie.

  4. Selecteer Opslaan in het detailvenster om een bewerkbare en bruikbare kopie van de werkmap te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen werkmap weergeven.

  5. Selecteer in de werkmap eerst het abonnement en de werkruimte die u wilt weergeven (mogelijk zijn ze al geselecteerd) en definieer vervolgens de TimeRange om de gegevens te filteren op basis van uw behoeften. Gebruik de wisselknop Help weergeven om een in-place uitleg van de werkmap weer te geven.

    Schermopname van het tabblad Overzicht van de werkmap voor de status van de analyseregel.

Deze werkmap heeft drie secties met tabbladen:

Tabblad Overzicht

Op het tabblad Overzicht ziet u samenvattingen van status en controle:

  • Statussamenvattingen van de status van de analyseregel wordt uitgevoerd in de geselecteerde werkruimte: aantal uitvoeringen, geslaagden en fouten en details van foutgebeurtenissen.
  • Auditoverzichten van activiteiten op analyseregels in de geselecteerde werkruimte: het aantal activiteiten in de loop van de tijd, het aantal activiteiten per type en het aantal activiteiten van verschillende typen per regel.

Tabblad Status

Op het tabblad Status kunt u specifieke statusgebeurtenissen verkennen.

Schermopname van de selectie van het tabblad Status in de werkmap Voor analysestatus.

  • Filter de hele paginagegevens op status (geslaagd of mislukt) en regeltype (gepland of NRT).
  • Bekijk de trends van geslaagde en mislukte regeluitvoeringen (afhankelijk van het statusfilter) gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven. Schermopname van de analyseregel die in de loop van de tijd wordt uitgevoerd in de werkmap voor analysestatus.
  • Filter de rest van de pagina op reden.
  • Bekijk het totale aantal uitvoeringen voor alle analyseregels, proportioneel weergegeven op status in een cirkeldiagram.
  • Hierna volgt een tabel met het aantal unieke analyseregels dat is uitgevoerd, uitgesplitst naar regeltype en status.
    • Selecteer een status om de resterende grafieken voor die status te filteren.
    • Wis het filter door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van het aantal regels dat wordt uitgevoerd op status en type in de werkmap voor analysestatus.
  • Bekijk elke status, met het aantal mogelijke redenen voor die status. (Alleen redenen die worden weergegeven in de uitvoeringen in het geselecteerde tijdsbestek worden weergegeven.)
    • Selecteer een status om de resterende grafieken voor die status te filteren.
    • Wis het filter door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van het aantal unieke redenen per status in de werkmap voor analysestatus.
  • Bekijk vervolgens een lijst met deze redenen, met het aantal gecombineerde regeluitvoeringen en het aantal unieke regels dat is uitgevoerd.
    • Selecteer een reden om de volgende grafieken te filteren.
    • Wis het filter door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van regeluitvoeringen op unieke reden in de werkmap voor de analysestatus.
  • Hierna volgt een lijst met de unieke analyseregels die zijn uitgevoerd, met de meest recente resultaten en trendlijnen van hun succes en mislukking (afhankelijk van de status die is geselecteerd om de lijst te filteren).
    • Selecteer een regel om in te zoomen en een nieuwe tabel weer te geven met alle uitvoeringen van die regel (in het geselecteerde tijdsbestek).
    • Wis die tabel door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van de lijst met unieke regels die worden uitgevoerd, met status- en trendlijnen, in de werkmap voor analysestatus.
  • Als u een regel in de lijst selecteert, wordt er een nieuwe tabel weergegeven met de statusgegevens voor de geselecteerde regel. Schermopname van de lijst met uitvoeringen van de geselecteerde analyseregel in de werkmap voor analysestatus.

Tabblad Controle

Op het tabblad Controle kunt u inzoomen op bepaalde controlegebeurtenissen.

Schermopname van de selectie van het tabblad Controle in de werkmap Analysestatus.

  • Filter de hele paginagegevens op type controleregel (gepland/fusion).
  • Bekijk de trends van gecontroleerde activiteiten op analyseregels gedurende de geselecteerde periode. U kunt de trendgrafiek 'tijdborstelen' om een subset van het oorspronkelijke tijdsbereik weer te geven. Schermopname van trending auditactiviteit in de werkmap analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen, uitgesplitst naar activiteit en regeltype.
    • Selecteer een activiteit om de volgende grafieken voor die activiteit te filteren.
    • Wis het filter door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van het aantal controlegebeurtenissen per activiteit en type in de werkmap voor de analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen op regelnaam.
    • Selecteer een regelnaam om de volgende tabel voor die regel te filteren en om in te zoomen en een nieuwe tabel weer te geven met alle activiteiten op die regel (in het geselecteerde tijdsbestek). (Zie na de volgende schermopname.)
    • Wis het filter door in de rechterbovenhoek van de grafiek het pictogram 'Selectie wissen' te selecteren (het ziet eruit als een pictogram 'Ongedaan maken'). Schermopname van gecontroleerde gebeurtenissen op regelnaam en aanroeper in de werkmap voor analysestatus.
  • Bekijk het aantal gecontroleerde gebeurtenissen per aanroeper (de identiteit die de activiteit heeft uitgevoerd).
  • Als u een regelnaam hebt geselecteerd in de voorgaande grafiek, wordt er een andere tabel weergegeven met de gecontroleerde activiteiten voor die regel. Selecteer de waarde die wordt weergegeven als een koppeling in de kolom ExtendedProperties om een zijpaneel te openen met de wijzigingen die in de regel zijn aangebracht. Schermopname van controleactiviteit voor geselecteerde regel in werkmap voor analysestatus.

Volgende stappen

  • Last updated on