Можно ли создавать предупреждения о работоспособности источника журнала в Azure Sentinel?

Question

Я пытаюсь создать предупреждение, которое позволит мне узнать, прекращает ли источник данных предоставлять журналы для Sentinel. Хотя я знаю, что он отображает аномалии в данных журнала на плате da sh, я надеюсь получать предупреждения, если источник прекращает предоставлять журналы в течение длительного периода времени.

Answer 1

Что-то вроде создания правила со следующим запросом (в данном случае CEF):

    CommonSecurityLog
    | where TimeGenerated > ago(24h)
    | summarize count() by DeviceVendor, DeviceProduct, DeviceName, DeviceExternalID
    | where count_ == 0