Övervaka hälsotillståndet och granska integriteten för dina analysregler

För att säkerställa omfattande, oavbruten och manipulationsfri hotidentifiering i din Microsoft Sentinel-tjänst håller du reda på dina analysreglers hälsa och integritet. Se till att de fungerar optimalt genom att övervaka sina körningsinsikter, genom att fråga hälso- och granskningsloggarna och genom att använda manuell omkörning för att testa och optimera dina regler.

Konfigurera meddelanden om hälso- och granskningshändelser för relevanta intressenter, som sedan kan vidta åtgärder. Definiera och skicka till exempel e-post eller Microsoft Teams-meddelanden, skapa nya biljetter i ditt biljettsystem och så vidare.

Den här artikeln beskriver hur du använder Microsoft Sentinel gransknings- och hälsoövervakningsfunktioner för att hålla reda på dina analysreglers hälsa och integritet inifrån Microsoft Sentinel.

Information om regelinsikter och manuell omkörning av regler finns i Övervaka och optimera körningen av dina schemalagda analysregler.

Sammanfattning

  • Microsoft Sentinel hälsologgar för analysregler:

    • Den här loggen samlar in händelser som registrerar körningen av analysregler och slutresultatet av dessa körningar – om de lyckades eller misslyckades, och om de misslyckades, varför.
    • Loggen registrerar även för varje körning av en analysregel:
      • Hur många händelser regelns fråga har samlat in.
      • Om antalet händelser har passerat tröskelvärdet som definierats i regeln, vilket gör att regeln utlöses av en avisering.

    Dessa loggar samlas in i tabellen SentinelHealth i Log Analytics.

  • Microsoft Sentinel granskningsloggar för analysregler:

    • Den här loggen registrerar händelser som registrerar ändringar som gjorts i en analysregel, inklusive följande information:
      • Namnet på regeln som ändrades.
      • Vilka egenskaper för regeln har ändrats.
      • Status för regelinställningarna före och efter ändringen.
      • Den användare eller identitet som gjorde ändringen.
      • Käll-IP och datum/tid för ändringen.
      • ... med mera.

    Dessa loggar samlas in i tabellen SentinelAudit i Log Analytics.

Använda datatabellerna SentinelHealth och SentinelAudit

Om du vill hämta gransknings- och hälsodata från tabellerna som beskrevs tidigare måste du först aktivera Microsoft Sentinel hälsofunktion för din arbetsyta. Mer information finns i Aktivera granskning och hälsoövervakning för Microsoft Sentinel.

När hälsofunktionen är aktiverad skapas datatabellen SentinelHealth vid den första lyckade eller misslyckade händelsen som genereras för dina automatiseringsregler och spelböcker.

Förstå sentinelhealth- och SentinelAudit-tabellhändelser

Tabellen SentinelHealth loggar följande typer av hälsohändelser för analysregler:

  • Schemalagd analysregelkörning.
  • NRT-analysregelkörning.

Mer information finns i Schema för SentinelHealth-tabellkolumner.

Tabellen SentinelAudit loggar följande typer av granskningshändelser för analysregler:

  • Skapa eller uppdatera analysregeln.
  • Analysregeln har tagits bort.

Mer information finns i Schema för SentinelAudit-tabellkolumner.

Köra frågor för att identifiera problem med hälsotillstånd och integritet

För bästa resultat skapar du dina frågor på de fördefinierade funktionerna för dessa tabeller, _SentinelHealth() och _SentinelAudit(), i stället för att fråga tabellerna direkt. Dessa funktioner upprätthåller dina frågors bakåtkompatibilitet om ändringar görs i schemat för tabellerna.

Som ett första steg filtrerar du tabellerna efter data som är relaterade till analysregler. Använd parametern SentinelResourceType .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Om du vill kan du filtrera listan ytterligare för en viss typ av analysregel. Använd parametern SentinelResourceKind för detta.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Här följer några exempelfrågor som hjälper dig att komma igång:

  • Hitta regler som är "autodisabled":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Räkna de regler och körningar som lyckades eller misslyckades av orsak:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Sök efter regelborttagningsaktivitet:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Hitta aktivitet för regler, efter regelnamn och aktivitetsnamn:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Hitta aktivitet för regler, efter uppringarens namn (identiteten som utförde aktiviteten):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

Andra resurser:

Schemalagda regler

När en schemaregel misslyckas försöker den igen fem gånger till i exakt samma fönster. Regeln hoppar inte över fönstret och missar en avisering så länge ett av de sex försöken lyckas.

Fel i ett av de sex försöken indikerar en fördröjning i aviseringens utlösande. Följande fråga beräknar den exakta fördröjningen:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Om du vill söka efter fullständiga fel (d.a.s. ett fönster som hoppades över) använder du följande fråga:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Den här frågan söker efter schemalagda analysregelkörningar där inga av de sex återförsöken lyckades. Du kan identifiera ett nytt försök genom att titta på starttiden för regelns fönster eftersom återförsöken alltid tittar på den ursprungliga starttiden. Den här frågan ger dig mängden överhoppade fönster för varje analysregel. Vi förväntar oss att överhoppade fönster är sällsynta. Om du ser att du har analysregler med överhoppade fönster använder du frågorna för att förstå felorsaken för dessa specifika regler och tabellen med felorsaker och åtgärder för att åtgärda dem.

NRT-regler

Återförsöksmekanismen för NRT-regler fungerar annorlunda än schemalagda regler. Om en regel inte kan köras tar systemet även hänsyn till det misslyckade fönstret i nästa körning (en minut senare). Det här beteendet fortsätter i upp till 60 fel (en timme).

Eftersom ett fel i en specifik körning bara återspeglar en minuts fördröjning bör du inte titta på enskilda fel. Använd i stället följande fråga för att övervaka fördröjningen för varje analysregel:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Du kan också definiera en analysregel för att utlösa aviseringar vid betydande fördröjningar (till exempel om en NRT-regel har en fördröjning på mer än 10 minuter).

Statusar, fel och föreslagna steg

För antingen schemalagd analysregelkörning eller NRT-analysregelkörning kan du se någon av följande statusar och beskrivningar:

  • Lyckades: Regeln har körts, vilket genererar <n> aviseringar.

  • Lyckades: Regeln har körts men nådde inte det tröskelvärde (<n>) som krävs för att generera en avisering.

  • Fel: De här beskrivningarna förklarar regelfel och vad du kan göra åt dem.

    Beskrivning Åtgärda
    Ett internt serverfel uppstod när frågan kördes.
    Tidsgränsen för frågekörningen översågs.
    Det gick inte att hitta en tabell som refereras i frågan. Kontrollera att relevant datakälla är ansluten.
    Ett semantikfel uppstod när frågan kördes. Prova att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    En funktion som anropas av frågan heter med ett reserverat ord. Ta bort eller byt namn på funktionen.
    Ett syntaxfel uppstod när frågan kördes. Prova att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    Arbetsytan finns inte.
    Den här frågan använder för många systemresurser och förhindrades från att köras. Granska och finjustera analysregeln. Läs vår dokumentation om Kusto-frågespråk översikt och metodtips.
    Det gick inte att hitta en funktion som anropades av frågan. Kontrollera att det finns i din arbetsyta för alla funktioner som anropas av frågan.
    Arbetsytan som användes i frågan hittades inte. Kontrollera att alla arbetsytor i frågan finns.
    Du har inte behörighet att köra den här frågan. Prova att återställa analysregeln genom att redigera och spara den (utan att ändra några inställningar).
    Du har inte åtkomstbehörighet till en eller flera av resurserna i frågan.
    Frågan refererade till en lagringssökväg som inte hittades.
    Frågan nekades åtkomst till en lagringssökväg.
    Flera funktioner med samma namn definieras på den här arbetsytan. Ta bort eller byt namn på den redundanta funktionen och återställ regeln genom att redigera och spara den.
    Den här frågan returnerade inget resultat.
    Flera resultatuppsättningar i den här frågan tillåts inte.
    Frågeresultatet innehåller inkonsekvent antal fält per rad.
    Regelns körning försenades på grund av långa datainmatningstider.
    Regelns körning försenades på grund av tillfälliga problem.
    Aviseringen berikades inte på grund av tillfälliga problem.
    Aviseringen berikades inte på grund av problem med entitetsmappning.
    < Nummer> entiteter togs bort i aviseringsnamn <> på grund av aviseringsstorleksgränsen på 32 KB.
    < Nummer> entiteter togs bort i aviseringsnamn <> på grund av problem med entitetsmappning.
    Frågan resulterade i <antal> händelser som överskrider det högsta tillåtna< gränsresultatet > för <regeltypsregler> med konfiguration av händelsegruppering per rad. Aviseringar per rad genererades för första <limit-1-händelser> och en ytterligare aggregerad avisering genererades för att ta hänsyn till alla händelser.
    - <number> = antalet händelser som returneras av frågan
    - <limit> = för närvarande 150 aviseringar för schemalagda regler, 30 för NRT-regler
    - <regeltyp> = Schemalagd eller NRT

Använda arbetsboken för granskning och hälsoövervakning

  1. Om du vill göra arbetsboken tillgänglig på arbetsytan installerar du arbetsbokslösningen från Microsoft Sentinel innehållshubben:

    1. I Microsoft Sentinel-portalen väljer du Innehållshubb (förhandsversion)innehållshanteringsmenyn.

    2. I innehållshubben anger du hälsa i sökfältet och väljer Analytics Health & Audit bland arbetsbokslösningarna under Fristående i resultatet.

      Skärmbild av val av arbetsbok för analyshälsa från innehållshubben.

    3. Välj Installera i informationsfönstret och välj sedan Spara som visas i dess ställe.

  2. När lösningen anger att den är installerad väljer du Arbetsböcker på menyn Hothantering .

    Skärmbild av indikation på att analyslösningen för hälsoarbetsböcker är installerad från innehållshubben.

  3. I galleriet Arbetsböcker väljer du fliken Mallar , anger hälsa i sökfältet och väljer Analytics Health & Audit bland resultaten.

    Skärmbild av att välja hälsoarbetsbok för analys från mallgalleriet.

  4. Välj Spara i informationsfönstret för att skapa en redigerbar och användbar kopia av arbetsboken. När kopian har skapats väljer du Visa sparad arbetsbok.

  5. När du är i arbetsboken väljer du först den prenumeration och arbetsyta som du vill visa (de kanske redan är markerade) och definierar sedan TimeRange för att filtrera data efter dina behov. Använd växlingsknappen Visa hjälp för att visa en förklaring på plats av arbetsboken.

    Skärmbild av översiktsfliken för hälsoarbetsboken för analysregel.

Den här arbetsboken har tre flikar:

Fliken Översikt

Fliken Översikt visar hälso- och granskningssammanfattningar:

  • Hälsosammanfattningar för status för analysregelkörningar på den valda arbetsytan: antal körningar, lyckade och misslyckade körningar samt information om felhändelser.
  • Granska sammanfattningar av aktiviteter för analysregler på den valda arbetsytan: antal aktiviteter över tid, antal aktiviteter efter typ och antal aktiviteter av olika typer efter regel.

Fliken Hälsa

På fliken Hälsa kan du utforska specifika hälsohändelser.

Skärmbild av val av fliken Hälsa i arbetsboken för analyshälsa.

  • Filtrera hela siddata efter status (lyckat eller misslyckat) och regeltyp (schemalagd eller NRT).
  • Se trenderna för lyckade och misslyckade regelkörningar (beroende på statusfiltret) under den valda tidsperioden. Du kan "tidsborsta" trenddiagrammet för att se en delmängd av det ursprungliga tidsintervallet. Skärmbild av analysregeln körs över tid i arbetsboken för analyshälsa.
  • Filtrera resten av sidan efter orsak.
  • Se det totala antalet körningar för alla analysregler, som visas proportionellt efter status i ett cirkeldiagram.
  • Följande är en tabell som visar antalet unika analysregler som kördes, uppdelade efter regeltyp och status.
    • Välj en status för att filtrera de återstående diagrammen för den statusen.
    • Rensa filtret genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet regler som körs efter status och typ i arbetsboken för analyshälsa.
  • Se varje status, med antalet möjliga orsaker till den statusen. (Endast orsaker som representeras i körningarna inom den valda tidsramen visas.)
    • Välj en status för att filtrera de återstående diagrammen för den statusen.
    • Rensa filtret genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet unika orsaker efter status i arbetsboken för analyshälsa.
  • Se sedan en lista över dessa orsaker, där antalet totala regelkörningar kombineras och antalet unika regler som kördes.
    • Välj en orsak för att filtrera följande diagram av den anledningen.
    • Rensa filtret genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av regelkörningar av unik orsak i arbetsboken för analyshälsa.
  • Därefter finns en lista över de unika analysregler som kördes, med de senaste resultaten och trendlinjerna för deras lyckade och misslyckade (beroende på vilken status som valts för att filtrera listan).
    • Välj en regel för att öka detaljnivån och visa en ny tabell med alla körningar av regeln (inom den valda tidsramen).
    • Rensa tabellen genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet i diagrammet. Skärmbild av listan över unika regler som körs, med status och trendlinjer, i arbetsboken för analyshälsa.
  • Om du väljer en regel i listan visas en ny tabell med hälsoinformationen för den valda regeln. Skärmbild av en lista över körningar av den valda analysregeln i arbetsboken för analyshälsa.

Fliken Granskning

På fliken Granskning kan du öka detaljnivån för specifika granskningshändelser.

Skärmbild av val av granskningsflik i arbetsboken för analyshälsa.

  • Filtrera hela siddata efter typ av granskningsregel (schemalagd/Fusion).
  • Se trenderna för granskad aktivitet i analysregler under den valda tidsperioden. Du kan "tidsborsta" trenddiagrammet för att se en delmängd av det ursprungliga tidsintervallet. Skärmbild av trendande granskningsaktivitet i arbetsboken för analyshälsa.
  • Se antalet granskade händelser, uppdelade efter aktivitet och regeltyp.
    • Välj en aktivitet för att filtrera följande diagram för aktiviteten.
    • Rensa filtret genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av antalet granskningshändelser efter aktivitet och typ i arbetsboken för analyshälsa.
  • Se antalet granskade händelser efter regelnamn.
    • Välj ett regelnamn för att filtrera följande tabell för regeln och för att öka detaljnivån och visa en ny tabell med all aktivitet i regeln (inom den valda tidsramen). (Se efter följande skärmbild.)
    • Rensa filtret genom att välja ikonen "Rensa markering" (det ser ut som en "Ångra"-ikon) i det övre högra hörnet av diagrammet. Skärmbild av granskade händelser efter regelnamn och anropare i analyshälsoarbetsboken.
  • Se antalet granskade händelser efter anropare (identiteten som utförde aktiviteten).
  • Om du har valt ett regelnamn i föregående diagram visas en annan tabell som visar de granskade aktiviteterna i regeln. Välj det värde som visas som en länk i kolumnen ExtendedProperties för att öppna en sidopanel som visar de ändringar som gjorts i regeln. Skärmbild av granskningsaktivitet för vald regel i arbetsboken för analyshälsa.

Nästa steg

  • Last updated on