我有一个Azure混合环境,大约有60台服务器。所有这些都带有Azure监控代理。
我对KQL的了解是基本的,所以我在Sentinel中有一个非常基本的心跳监测器设置。它每5分钟检查一次,并在过去5分钟内查看是否所有服务器都已签入。如果没有,它会发送一封电子邮件。因此,如果服务器在20分钟内没有登录,则会有4封电子邮件。
理想情况下,我想要的是一个查询,当运行时,它会发送5分钟警报,但也会检查5分钟警报是否已经发送,如果已经发送,则在15分钟之前不发送警报,然后在30分钟时再次发送。我想我需要不止一个警报来完成这件事。
我的问题是,要创建这个更高级的查询,我需要研究什么?KQL中是否有一组我应该关注的命令?我是KQL的新手,所以我知道我想完成什么,我只是不知道我需要搜索什么工具来帮助我创建它
提前感谢您的帮助!
您需要查看行动手册。行动手册是Azure Logic应用程序。逻辑应用程序可以配置为定期运行KQL并发送警报。您还需要某种存储机制,如Azure表存储来跟踪上次发送警报的时间,然后您可以进行日期时间计算,以查看是否需要在15分钟之前引发或抑制警报。
点击此处查看行动手册的更多详细信息:
https://learn.microsoft.com/en-us/azure/sentinel/automate-responses-with-playbooks