この記事では、Microsoft Sentinel リソースの正常性を監視するために使用される SentinelHealth テーブルのフィールドについて説明します。 Microsoft Sentinel の正常性監視機能を使用すると、SIEM の適切な機能に関するタブを保持し、環境内の正常性の誤差に関する情報を取得できます。
正常性テーブルに対してクエリを実行して使用し、環境内のアクションをより詳細に監視および表示する方法について説明します。
- データ コネクタの場合
- 自動化ルールとプレイブックの場合
- 分析ルールの場合
Microsoft Sentinel の正常性監視機能は、さまざまな種類のリソースを対象としています (以下の最初の表の SentinelResourceType フィールドのリソースの種類を参照)。 次の表のデータ フィールドの多くは、リソースの種類にまたがって適用されますが、種類ごとに特定のアプリケーションを持つものもあります。 以下の説明は、一方または他の方法を示しています。
SentinelHealth テーブル列スキーマ
次の表では、SentinelHealth データ テーブルで生成された列とデータについて説明します。
| ColumnName | カラムタイプ | Description |
|---|---|---|
| テナント ID | String | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | 日時 | 正常性イベントが発生した時刻 (UTC)。 |
| OperationName | String | 正常性操作。 使用可能な値は、リソースの種類によって異なります。 詳細については、 さまざまなリソースの種類の操作名 を参照してください。 |
| SentinelResourceId | String | 正常性イベントが発生したリソースの一意識別子と、関連付けられている Microsoft Sentinel ワークスペース。 |
| SentinelResourceName | String | リソースの名前 (コネクタ、ルール、またはプレイブック)。 |
| 地位 | String | 操作の全体的な結果を示します。 指定できる値は、操作名によって異なります。 詳細については、 さまざまなリソースの種類の操作名 を参照してください。 |
| 説明 | String | 必要に応じて拡張データを含む操作について説明します。 エラーの場合は、エラーの理由の詳細を含めることができます。 |
| 理由 | Enum | リソースの障害に関する基本的な理由またはエラー コードを示します。 使用可能な値は、リソースの種類によって異なります。 詳細な理由については、「 説明 」フィールドを参照してください。 |
| WorkspaceId | String | 正常性の問題が発生したワークスペース GUID。 完全な Azure リソース識別子は、 SentinelResourceID 列で使用できます。 |
| SentinelResourceType | String | 監視対象の Microsoft Sentinel リソースの種類。 使用可能な値: Data connector、 Automation rule、 Playbook、 Analytics rule |
| SentinelResourceKind | String | リソースの種類内のリソース分類。 - データ コネクタの場合、これは接続されたデータ ソースの種類です。 - 分析ルールの場合、これはルールの種類です。 |
| RecordId | String | 必要に応じて相関関係を向上するためにサポート チームと共有できるレコードの一意識別子。 |
| ExtendedProperties | 動的 (json) |
OperationName 値とイベントの状態によって異なる JSON バッグ。 詳細については、 拡張プロパティ を参照してください。 |
| タイプ | String | SentinelHealth |
さまざまなリソースの種類の操作名
| リソースの種類 | 操作名 | Statuses |
|---|---|---|
| データ コレクター | データ フェッチの状態の変更 __________________ データ フェッチエラーの概要 |
Success Failure _____________ Informational |
| 自動化ルール | Automation ルールの実行 | Success 部分的な成功 Failure |
| プレイブック | プレイブックがトリガーされました | Success Failure |
| 分析ルール | スケジュールされた分析ルールの実行 NRT 分析ルールの実行 |
Success Failure |
拡張プロパティ
データ コネクタ
成功インジケーターを持つ Data fetch status change イベントの場合、バッグには、このリソースのデータがどこに到着することが予想されているかを示す 'DestinationTable' プロパティが含まれています。 エラーの場合、内容はエラーの種類によって異なります。
オートメーション ルール
| ColumnName | カラムタイプ | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | 整数 | 自動化ルールが正常にトリガーされたアクションの数。 |
| IncidentName | String | ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | String | ポータルに示されている Microsoft Sentinel インシデントの連続番号。 |
| TotalActions | 整数 | この自動化ルールで構成されたアクションの数。 |
| TriggeredOn | String |
Alert または Incident。 ルールがトリガーされたオブジェクト。 |
| TriggeredPlaybooks | 動的 (json) | この自動化ルールが正常にトリガーされたプレイブックの一覧。 リスト内の各プレイブック レコードには次のものが含まれます。 - RunId: Logic Apps ワークフローのこのトリガーの実行 ID - WorkflowId: Logic Apps ワークフロー リソースの一意識別子 (完全な ARM リソース ID)。 |
| TriggeredWhen | String |
Created または Updated。 インシデントまたはアラートの作成または更新によってルールがトリガーされたかどうかを示します。 |
Playbooks
| ColumnName | カラムタイプ | Description |
|---|---|---|
| IncidentName | String | ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | String | ポータルに示されている Microsoft Sentinel インシデントの連続番号。 |
| RunId | String | Logic Apps ワークフローのこのトリガーの実行 ID。 |
| TriggeredByName | 動的 (json) | プレイブックをトリガーした ID (ユーザーまたはアプリケーション) に関する情報。 |
| TriggeredOn | String |
Incident。 プレイブックがトリガーされたオブジェクト。(アラート トリガーを使用するプレイブックは、オートメーション ルールによって呼び出された場合にのみログに記録されるため、これらのプレイブックの実行は、オートメーション ルール イベントの TriggeredPlaybooks 拡張プロパティに表示されます)。 |
分析ルール
分析ルールの拡張プロパティには、特定の ルール設定が反映されます。
| ColumnName | カラムタイプ | Description |
|---|---|---|
| AggregationKind | String | イベントグループ化の設定。
AlertPerResult または SingleAlert。 |
| AlertsGeneratedAmount | 整数 | このルールの実行によって生成されたアラートの数。 |
| CorrelationId | String | GUID 形式のイベント関連付け ID。 |
| EntitiesDroppedDueToMappingIssuesAmount | 整数 | マッピングの問題が原因で削除されたエンティティの数。 |
| EntitiesGeneratedAmount | 整数 | このルールの実行によって生成されるエンティティの数。 |
| 問題 | String | |
| QueryEndTimeUTC | 日時 | クエリの実行を開始した UTC 時刻。 |
| QueryFrequency | 日時 | [クエリの実行間隔] 設定の値 (HH:MM:SS)。 |
| QueryPerformanceIndicators | String | |
| QueryPeriod | 日時 | [最後のデータからの参照] 設定の値 (HH:MM:SS)。 |
| QueryResultAmount | 整数 | クエリによってキャプチャされた結果の数。 この数が以下に定義されているしきい値を超えると、ルールによってアラートが生成されます。 |
| QueryStartTimeUTC | 日時 | クエリの実行が完了した UTC 時刻。 |
| ルール ID | String | この分析ルールのルール ID。 |
| SuppressionDuration | 時間 | ルール抑制期間 (HH:MM:SS)。 |
| SuppressionEnabled | String | ルール抑制が有効になっています。
True/False。 |
| TriggerOperator | String | アラートの生成に必要な結果のしきい値のオペレーター部分。 |
| TriggerThreshold | 整数 | アラートの生成に必要な結果のしきい値の数部分。 |
| トリガータイプ | String | トリガーされるルールの種類。
Scheduled または NrtRun。 |
次のステップ
- Microsoft Sentinel での監査と正常性の監視について説明します。
- Microsoft Sentinel で監査と正常性の監視を有効にします。
- 自動化ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- SentinelAudit テーブルリファレンス