Sentinelデータコネクタのログ収集チェック
Microsoft Sentinelの運用段階になると様々なコンポーネントが正常に動作しているか?を定期的な作業のひとつとして行うことになると思います。この作業のひとつにSentinelのログ収集機能であるデータコネクタが正しくログを収集できているか?があります。
実装した時にちゃんとコネクタがログ収集していたけど、時間が経過したらいつの間にかログ収集しなくなっていた.. そんなことがあったときにお知らせする方法を見てみましょう。
監査と正常性の監視を有効にする
Microsoft Sentinelのログコネクタに関する状況はSentinelHealthというテーブルからクエリを叩いて確認できます。しかしその設定は [監査と正常性の監視] という設定を有効にする必要があります。設定は Microsoft Azure 管理ポータルから 設定 > 設定 の順にアクセスし、[監査と正常性の監視] 欄の [有効にする] をクリックすると有効にできます。
ちなみに私は有効にしてから30分ぐらい待ちました。
クエリを実行して確認
有効化が完了したらクエリを実行して確認してみましょう。
SentinelHealth | where SentinelResourceType =~ "Data connector" | summarize arg_max(TimeGenerated,*) by SentinelResourceName | project TimeGenerated, SentinelResourceName, Status
実行結果はこんな感じ
StatusがSuccessでなかったらアラートを出すような分析ルールを作っておいて、そのアラートが出たら管理者にメールを送るようなプレイブックを作って運用するのもいいですよね。
お試しあれ
Sentinel をレベルに合わせて学べる講座はこちら
