Freigeben über


Aktivieren der Überwachung und Systemüberwachung für Microsoft Sentinel (Vorschau)

Überwachen Sie die Integrität unterstützter Microsoft Sentinel-Ressourcen, indem Sie das Feature zur Überwachung und Systemüberwachung auf der Seite Einstellungen von Microsoft Sentinel aktivieren. Verschaffen Sie sich Einblick in Integritätsabweichungen (z. B. aktuelle Fehlerereignisse oder Änderungen vom Zustand „Erfolg“ in „Fehler“) und nicht autorisierte Aktionen, und erstellen Sie mithilfe dieser Informationen Benachrichtigungen und andere automatisierte Aktionen.

Zum Abrufen von Integritätsdaten aus der SentinelHealth-Datentabelle oder zum Abrufen von Überwachungsinformationen aus der SentinelAudit-Datentabelle müssen Sie zunächst die Microsoft Sentinel-Features für die Überwachung und Systemüberwachung für Ihren Arbeitsbereich aktivieren. In diesem Artikel erfahren Sie, wie Sie diese Features aktivieren.

Um die Integritäts- und Überwachungsfunktion mit Hilfe der API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST) zu implementieren, lesen Sie die Vorgänge der Diagnoseeinstellungen. Informationen zum Konfigurieren der Aufbewahrungszeit für Ihre Überwachungs- und Integritätsereignisse finden Sie unter Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.

Wichtig

Die Datentabellen SentinelHealth und SentinelAudit befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Aktivieren der Überwachung und Systemüberwachung für Ihren Arbeitsbereich

Aktivieren Sie zunächst die Überwachung und die Integritätsüberwachung über die Microsoft Sentinel-Einstellungen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Optionen Einstellungen>Einstellungen aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal unter System die Optionen Einstellungen>Microsoft Sentinel aus.

  2. Wählen Sie Überwachung und Systemüberwachung aus.

  3. Wählen Sie Aktivieren aus, um die Überwachung und Systemüberwachung für alle Ressourcentypen zu aktivieren und die Überprüfungs- und Überwachungsdaten ausschließlich an Ihren Microsoft Sentinel-Arbeitsbereich zu senden.

    Oder wählen Sie den Link Diagnoseeinstellungen konfigurieren aus, um die Systemüberwachung nur für die Datensammler- und/oder Automatisierungsressourcen zu aktivieren oder um erweiterte Optionen zu konfigurieren, z. B. mehr Orte, an die Daten gesendet werden können.

    Wenn Sie Aktivieren ausgewählt haben, wird die Schaltfläche abgeblendet und in Aktivieren... und dann in Aktiviert geändert. Die Überwachung und Systemüberwachung sind nun aktiviert, und Sie sind fertig! Die entsprechenden Diagnoseeinstellungen wurden im Hintergrund hinzugefügt, und Sie können sie anzeigen und bearbeiten, indem Sie auf den Link Diagnoseeinstellungen konfigurieren klicken.

  4. Wenn Sie Diagnoseeinstellungen konfigurieren ausgewählt haben, wählen Sie auf dem Bildschirm Diagnoseeinstellungen die Option + Diagnoseeinstellung hinzufügen aus.

    (Wenn Sie eine vorhandene Einstellung bearbeiten, wählen Sie sie aus der Liste der Diagnoseeinstellungen aus.)

    • Geben Sie im Feld Name der Diagnoseeinstellung einen aussagekräftigen Namen für Ihre Einstellung ein.

    • Wählen Sie in der Spalte Protokolle die entsprechenden Kategorien für die zu überwachenden Ressourcentypen aus, z. B. Datensammlung – Connectors. Wählen Sie allLogs aus, wenn Sie Analyseregeln überwachen möchten.

    • Wählen Sie unter Zieldetails die Option An Log Analytics-Arbeitsbereich senden und dann in den Dropdownmenüs Ihr Abonnement und Ihren Log Analytics-Arbeitsbereich aus.

      Screenshot: Bildschirm mit Diagnoseeinstellungen zum Aktivieren von Überwachung und Systemüberwachung

      Bei Bedarf können Sie zusätzlich zum Log Analytics-Arbeitsbereich andere Ziele auswählen, an die Ihre Daten gesendet werden sollen.

  5. Wählen Sie im oberen Banner Speichern aus, um Ihre neue Einstellung zu speichern.

Die Datentabellen SentinelHealth und SentinelAudit werden beim ersten Ereignis erstellt, das für die ausgewählten Ressourcen generiert wird.

Überprüfen, ob die Tabellen Daten empfangen

Führen Sie im Azure-Portal oder im Defender-Portal Abfragen in der Kusto-Abfragesprache (Kusto Query Language, KQL) aus, um sicherzustellen, dass Sie Integritäts- und Überwachungsdaten erhalten.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Allgemein die Option Protokolle aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal unter Untersuchung und Reaktion die Optionen Hunting>Erweiterte Bedrohungssuche aus.

  2. Führen Sie eine Abfrage für die Tabelle SentinelHealth aus. Zum Beispiel:

    _SentinelHealth()
     | take 20
    
  3. Führen Sie eine Abfrage für die Tabelle SentinelAudit aus. Zum Beispiel:

    _SentinelAudit()
     | take 20
    

Unterstützte Datentabellen und Ressourcentypen

Wenn das Feature aktiviert ist, werden die Datentabellen SentinelHealth und SentinelAudit beim ersten Ereignis erstellt, das für die ausgewählten Ressourcen generiert wird.

Die Microsoft Sentinel-Systemüberwachung unterstützt derzeit die folgenden Ressourcentypen:

  • Analyseregeln
  • Datenconnectors
  • Automatisierungsregeln
  • Playbooks (Azure Logic Apps-Workflows)

Hinweis

Beim Überwachen der Playbookintegrität müssen Sie in Ihren Playbooks Azure Logic Apps-Diagnoseereignisse sammeln, um ein vollständiges Bild Ihrer Playbookaktivität zu erhalten. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Automatisierungsregeln und Playbooks.

Für die Überwachung wird derzeit nur der Ressourcentyp „Analyseregel“ unterstützt.

Nächste Schritte