De status van uw automatiseringsregels en playbooks bewaken

Artikel
03/31/2023

Houd de status van uw automatiseringsregels en playbooks bij door hun uitvoeringslogboeken te bewaken om de juiste werking en prestaties van uw beveiligingsindeling, automatisering en reactiebewerkingen in uw Microsoft Sentinel-service te garanderen.

Stel meldingen van statusgebeurtenissen in voor relevante belanghebbenden, die vervolgens actie kunnen ondernemen. U kunt bijvoorbeeld e-mail- of Microsoft Teams-berichten definiëren en verzenden, nieuwe tickets maken in uw ticketsysteem, enzovoort.

In dit artikel wordt beschreven hoe u de functies voor statuscontrole van Microsoft Sentinel gebruikt om de status van uw automatiseringsregels en playbooks bij te houden vanuit Microsoft Sentinel.

Samenvatting

Microsoft Sentinel Automation-statuslogboeken:
- In dit logboek worden gebeurtenissen vastgelegd die de uitvoering van automatiseringsregels vastleggen, en het eindresultaat van deze uitvoeringen: als ze zijn geslaagd of mislukt, en als ze zijn mislukt, waarom. In het logboek wordt het collectieve succes of falen van het starten van de acties in de regel vastgelegd en worden ook de playbooks vermeld die door de regel worden aangeroepen.
- In het logboek worden ook gebeurtenissen vastgelegd die de triggers op aanvraag (handmatig of op api's gebaseerd) van playbooks vastleggen, inclusief de identiteiten die deze hebben geactiveerd, of ze zijn geslaagd of mislukt, en als ze zijn mislukt, waarom.
- Dit logboek bevat geen record van de uitvoering van de inhoud van een playbook, alleen van het slagen of mislukken van het starten van het playbook. Zie de volgende lijst hieronder voor een logboek van de acties die in een playbook worden uitgevoerd.
- Deze logboeken worden verzameld in de tabel SentinelHealth in Log Analytics.
Belangrijk

De gegevenstabel SentinelHealth is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Diagnostische logboeken van Azure Logic Apps:
- Deze logboeken leggen de resultaten vast van het uitvoeren van playbooks (ook wel Logic Apps-werkstromen genoemd) en de acties erin.
- Deze logboeken bieden u een volledig beeld van uw automatiseringsstatus wanneer deze worden gebruikt in combinatie met de automation-statuslogboeken.
- Deze logboeken worden verzameld in de tabel AzureDiagnostics in Log Analytics.

De gegevenstabel SentinelHealth gebruiken (openbare preview)

Als u automatiseringsstatusgegevens wilt ophalen uit de gegevenstabel SentinelHealth , moet u eerst de Microsoft Sentinel-statusfunctie inschakelen voor uw werkruimte. Zie Statuscontrole inschakelen voor Microsoft Sentinel voor meer informatie.

Zodra de statusfunctie is ingeschakeld, wordt de sentinelHealth-gegevenstabel gemaakt bij de eerste geslaagde of mislukte gebeurtenis die is gegenereerd voor uw automatiseringsregels en playbooks.

Informatie over sentinelHealth-tabelgebeurtenissen

De volgende typen automatiseringsstatusgebeurtenissen worden vastgelegd in de tabel SentinelHealth :

Automatiseringsregel uitvoeren. Geregistreerd wanneer aan de voorwaarden van een automatiseringsregel wordt voldaan, waardoor deze wordt uitgevoerd. Naast de velden in de standaardtabel SentinelHealth bevatten deze gebeurtenissen uitgebreide eigenschappen die uniek zijn voor het uitvoeren van automatiseringsregels, waaronder een lijst met playbooks die door de regel worden aangeroepen. In de volgende voorbeeldquery worden deze gebeurtenissen weergegeven:
```
SentinelHealth
| where OperationName == "Automation rule run"
```
Playbook is geactiveerd. Wordt geregistreerd wanneer een playbook handmatig wordt geactiveerd bij een incident vanuit de portal of via de API. Naast de velden in de standaardtabel SentinelHealth bevatten deze gebeurtenissen uitgebreide eigenschappen die uniek zijn voor het handmatig activeren van playbooks. In de volgende voorbeeldquery worden deze gebeurtenissen weergegeven:
```
SentinelHealth
| where OperationName == "Playbook was triggered"
```

Zie tabelkolommenschema SentinelHealth voor meer informatie.

Statussen, fouten en voorgestelde stappen

Voor het uitvoeren van de Automation-regel ziet u mogelijk de volgende statussen:

Geslaagd: de regel is uitgevoerd, waardoor alle acties worden geactiveerd.
Gedeeltelijk geslaagd: de regel is uitgevoerd en geactiveerd ten minste één actie, maar sommige acties zijn mislukt.
Fout: automatiseringsregel heeft geen actie uitgevoerd om een van de volgende redenen:
- Evaluatie van voorwaarden is mislukt.
- Aan de voorwaarden is voldaan, maar de eerste actie is mislukt.

Als Playbook is geactiveerd, ziet u mogelijk de volgende statussen:

Geslaagd: playbook is geactiveerd.
Fout: playbook kan niet worden geactiveerd.

Notitie

'Geslaagd' betekent alleen dat de automatiseringsregel een playbook heeft geactiveerd. U ziet niet wanneer het playbook is gestart of beëindigd, de resultaten van de acties in het playbook of het uiteindelijke resultaat van het playbook. U vindt deze informatie door een query uit te voeren op de diagnostische logboeken van Logic Apps (zie de instructies verderop in dit artikel).

Foutbeschrijvingen en voorgestelde acties

Foutbeschrijving	Voorgestelde acties
*Kan taak niet toevoegen: <Taaknaam>.* Incident/waarschuwing is niet gevonden.	Controleer of het incident/de waarschuwing bestaat en probeer het opnieuw.
*Kan eigenschap: <PropertyName>* niet wijzigen.** Incident/waarschuwing is niet gevonden.	Controleer of het incident/de waarschuwing bestaat en probeer het opnieuw.
*Kan eigenschap: <PropertyName>* niet wijzigen.** Er zijn te veel aanvragen, die de beperkingslimieten overschrijden.
*Kan playbook niet activeren: <PlaybookName>.* Incident/waarschuwing is niet gevonden.	Als de fout is opgetreden bij het activeren van een playbook op aanvraag, controleert u of het incident/de waarschuwing bestaat en probeert u het opnieuw.
*Kan playbook niet activeren: <PlaybookName>.* Het playbook is niet gevonden of Microsoft Sentinel heeft geen machtigingen voor het playbook gevonden.	Bewerk de automatiseringsregel, zoek en selecteer het playbook op de nieuwe locatie en sla het op. Zorg ervoor dat Microsoft Sentinel gemachtigd is om dit playbook uit te voeren.
*Kan playbook niet activeren: <PlaybookName>.* Bevat een niet-ondersteund triggertype.	Zorg ervoor dat uw playbook begint met de juiste Logic Apps-trigger: Microsoft Sentinel-incident of Microsoft Sentinel-waarschuwing.
*Kan playbook niet activeren: <PlaybookName>.* Het abonnement is uitgeschakeld en gemarkeerd als alleen-lezen. Playbooks in dit abonnement kunnen pas worden uitgevoerd als het abonnement opnieuw is ingeschakeld.	Schakel het Azure-abonnement waarin het playbook zich bevindt opnieuw in.
*Kan playbook niet activeren: <PlaybookName>.* Het playbook is uitgeschakeld.	Schakel uw playbook in in Microsoft Sentinel op het tabblad Actieve playbooks onder Automatisering of op de resourcepagina van Logic Apps.
*Kan playbook niet activeren: <PlaybookName>.* Ongeldige sjabloondefinitie.	Er is een fout opgetreden in de definitie van het playbook. Ga naar de Logic Apps-ontwerpfunctie om de problemen op te lossen en sla het playbook op.
*Kan playbook niet activeren: <PlaybookName>.* Configuratie van toegangsbeheer beperkt Microsoft Sentinel.	Logic Apps-configuraties maken het mogelijk om de toegang te beperken om het playbook te activeren. Deze beperking is van kracht voor dit playbook. Verwijder deze beperking zodat Microsoft Sentinel niet wordt geblokkeerd. Meer informatie
*Kan playbook niet activeren: <PlaybookName>.* Microsoft Sentinel heeft geen machtigingen om het uit te voeren.	Microsoft Sentinel vereist machtigingen voor het uitvoeren van playbooks.
*Kan playbook niet activeren: <PlaybookName>.* Playbook is niet gemigreerd naar een nieuw machtigingenmodel. Microsoft Sentinel machtigingen verlenen om dit playbook uit te voeren en de regel opnieuw op te slaan.	Microsoft Sentinel machtigingen verlenen om dit playbook uit te voeren en de regel opnieuw op te slaan.
*Kan playbook niet activeren: <PlaybookName>.* Te veel aanvragen, het overschrijden van werkstroombeperkingslimieten.	Het aantal wachtende werkstroomuitvoeringen heeft de maximaal toegestane limiet overschreden. Verhoog de waarde van de gelijktijdigheidsconfiguratie van `'maximumWaitingRuns'` de trigger.
*Kan playbook niet activeren: <PlaybookName>.* Er zijn te veel aanvragen, die de beperkingslimieten overschrijden.	Meer informatie over abonnements- en tenantlimieten.
*Kan playbook niet activeren: <PlaybookName>.* Toegang is verboden. De configuratie van de beheerde identiteit ontbreekt of er is een Logic Apps-netwerkbeperking ingesteld.	Als het playbook gebruikmaakt van een beheerde identiteit, moet u ervoor zorgen dat de beheerde identiteit is toegewezen met machtigingen. Het playbook heeft mogelijk netwerkbeperkingsregels die verhinderen dat het wordt geactiveerd wanneer de Microsoft Sentinel-service wordt geblokkeerd.
*Kan playbook niet activeren: <PlaybookName>.* Het abonnement of de resourcegroep is vergrendeld.	Verwijder de vergrendeling om playbooks van Microsoft Sentinel in het vergrendelde bereik te activeren. Meer informatie over vergrendelde resources.
*Kan playbook niet activeren: <PlaybookName>.* De aanroeper mist vereiste playbook-triggeringmachtigingen voor playbook of Microsoft Sentinel mist machtigingen voor het playbook.	De gebruiker die het playbook op aanvraag probeert te activeren, mist de rol Logic Apps-inzender in het playbook of om het playbook te activeren. Meer informatie
*Kan playbook niet activeren: <PlaybookName>.* Ongeldige referenties in verbinding.	Controleer de referenties die uw verbinding gebruikt in de service API-verbindingen in de Azure Portal.
*Kan playbook niet activeren: <PlaybookName>.* De ARM-id van playbook is ongeldig.

Het volledige automatiseringsbeeld ophalen

Met de statuscontroletabel van Microsoft Sentinel kunt u de triggering van playbooks bijhouden, maar als u wilt controleren wat er in uw playbooks gebeurt en de resultaten ervan wanneer ze worden uitgevoerd, moet u ook diagnostische gegevens in Azure Logic Apps inschakelen om de volgende gebeurtenissen op te nemen in de AzureDiagnostics-tabel :

{Actienaam} gestart
{Actienaam} is beëindigd
Werkstroom (playbook) gestart
Werkstroom (playbook) beëindigd

Met deze toegevoegde gebeurtenissen krijgt u meer inzicht in de acties die in uw playbooks worden uitgevoerd.

Diagnostische gegevens van Azure Logic Apps inschakelen

Voor elk playbook dat u wilt bewaken, schakelt u Log Analytics in voor uw logische app. Selecteer Verzenden naar Log Analytics-werkruimte als uw logboekbestemming en kies uw Microsoft Sentinel-werkruimte.

Microsoft Sentinel- en Azure Logic Apps-logboeken correleren

Nu u logboeken hebt voor uw automatiseringsregels en playbooks en logboeken voor uw afzonderlijke Logic Apps-werkstromen in uw werkruimte, kunt u deze correleren om een volledig beeld te krijgen. Bekijk de volgende voorbeeldquery:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

De werkmap voor statuscontrole gebruiken

Met de Automation-statuswerkmap kunt u uw statusgegevens visualiseren, evenals de correlatie tussen de twee typen logboeken die we zojuist hebben genoemd. De werkmap bevat de volgende weergaven:

Status en details van automatiseringsregel
Status en details van playbook-trigger
Playbook voert de status en details uit (vereist dat Azure Diagnostic is ingeschakeld op playbookniveau)
Automatiseringsdetails per incident

Schermopname van het openen van het deelvenster van de werkmap voor de automatiseringsstatus.

Selecteer het tabblad Playbooks die worden uitgevoerd door Automation-regels om de playbook-activiteit te bekijken.

Schermopname van een lijst met playbooks die worden aangeroepen door automatiseringsregels.

Selecteer een playbook om de lijst met uitvoeringen te bekijken in de onderstaande inzoomgrafiek.

Schermopname van een lijst met uitvoeringen van het gekozen playbook.

Selecteer een bepaalde uitvoering om de resultaten van de acties in het playbook weer te geven.

Volgende stappen

Meer informatie over controle en statuscontrole in Microsoft Sentinel.
Schakel controle en statuscontrole in Microsoft Sentinel in.
Controleer de status van uw gegevensconnectors.
Controleer de status en integriteit van uw analyseregels.
Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit .

Share via