이 문서에서는 Microsoft Sentinel 리소스의 상태를 모니터링하는 데 사용되는 SentinelHealth 테이블의 필드를 설명합니다. Microsoft Sentinel 상태 모니터링 기능을 사용하면 SIEM의 적절한 작동을 감시하고 사용자 환경의 상태 드리프트에 대한 정보를 가져올 수 있습니다.
사용자 환경에서 작업의 심층 모니터링 및 가시성을 위해 상태 테이블을 쿼리하고 사용하는 방법을 알아봅니다.
- 데이터 커넥터의 경우
- 자동화 규칙 및 플레이북의 경우
- 분석 규칙의 경우
Microsoft Sentinel의 상태 모니터링 기능은 다양한 종류의 리소스를 다룹니다(아래 표의 SentinelResourceType 필드에 있는 리소스 종류 참조). 다음 표의 많은 데이터 필드는 리소스 종류에 적용되지만 일부 데이터 필드에는 각 형식에 대한 특정 애플리케이션이 있습니다. 아래 설명은 한 가지 방법 또는 다른 방법을 나타냅니다.
SentinelHealth 테이블 열 스키마
다음 표에서는 SentinelHealth 데이터 테이블에서 생성된 열 및 데이터에 대해 설명합니다.
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| 테넌트 ID | String | Microsoft Sentinel 작업 영역의 테넌트 ID입니다. |
| TimeGenerated | 날짜와 시간 | 상태 이벤트가 발생한 시간(UTC)입니다. |
| OperationName | String | 상태 작업입니다. 가능한 값은 리소스 종류에 따라 달라집니다. 자세한 내용은 다양한 리소스 종류에 대한 작업 이름을 참조하세요. |
| SentinelResourceId | String | 상태 이벤트가 발생한 리소스 및 연결된 Microsoft Sentinel 작업 영역의 고유 식별자입니다. |
| SentinelResourceName | String | 리소스의 이름(커넥터, 규칙 또는 플레이북)입니다. |
| 상태 | String | 작업의 전체 결과를 나타냅니다. 가능한 값은 작업 이름에 따라 달라집니다. 자세한 내용은 다양한 리소스 종류에 대한 작업 이름을 참조하세요. |
| 설명 | String | 필요에 따라 확장 데이터를 포함하여 작업을 설명합니다. 오류의 경우 실패 원인에 대한 세부 정보가 포함될 수 있습니다. |
| 이유 | Enum | 리소스 오류에 대한 기본적인 이유 또는 오류 코드를 표시합니다. 가능한 값은 리소스 종류에 따라 달라집니다. 자세한 이유는 설명 필드에서 찾을 수 있습니다. |
| WorkspaceId | String | 상태 문제가 발생한 작업 영역 GUID입니다. 전체 Azure 리소스 식별자는 SentinelResourceID 열에서 사용할 수 있습니다. |
| SentinelResourceType | String | 모니터링 중인 Microsoft Sentinel 리소스 종류입니다. 가능한 값: Data connector, Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | String | 리소스 종류 내의 리소스 분류입니다. - 데이터 커넥터의 경우 연결된 데이터 원본의 형식입니다. - 분석 규칙의 경우 규칙 유형입니다. |
| RecordId | String | 필요에 따라 더 나은 상관 관계를 위해 지원 팀과 공유할 수 있는 레코드의 고유 식별자입니다. |
| ExtendedProperties | 동적(json) |
OperationName 값 및 이벤트의 상태에 따라 달라지는 JSON 모음입니다. 자세한 내용은 확장 속성을 참조하세요. |
| 유형 | String | SentinelHealth |
다양한 리소스 종류에 대한 작업 이름
| 리소스 유형 | 작업 이름 | Statuses |
|---|---|---|
| 데이터 수집기 | 데이터 인출 상태 변경 __________________ 데이터 페치 실패 요약 |
성공 실패 _____________ Informational |
| 자동화 규칙 | Automation 규칙 실행 | 성공 부분 성공 실패 |
| 플레이북 | 플레이북이 트리거되었습니다. | 성공 실패 |
| 분석 규칙 | 예약된 분석 규칙 실행 NRT 분석 규칙 실행 |
성공 실패 |
확장 속성
데이터 커넥터
성공 표시기가 있는 이벤트의 경우 Data fetch status change 이 리소스의 데이터가 착륙할 위치를 나타내는 'DestinationTable' 속성이 모음에 포함됩니다. 오류의 경우 오류 유형에 따라 내용이 달라집니다.
자동화 규칙
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | 정수 | 자동화 규칙이 성공적으로 트리거된 작업 수입니다. |
| IncidentName | String | 규칙이 트리거된 Microsoft Sentinel 인시던트 리소스 ID입니다. |
| IncidentNumber | String | 포털에 표시된 대로 Microsoft Sentinel 인시던트의 순차 번호입니다. |
| TotalActions | 정수 | 이 자동화 규칙에 구성된 작업 수입니다. |
| TriggeredOn | String |
Alert 또는 Incident. 규칙이 트리거된 개체입니다. |
| TriggeredPlaybooks | 동적(json) | 이 자동화 규칙이 성공적으로 트리거된 플레이북 목록입니다. 목록의 각 플레이북 레코드에는 다음이 포함됩니다. - RunId: Logic Apps 워크플로의 이 트리거에 대한 실행 ID - WorkflowId: Logic Apps 워크플로 리소스의 고유 식별자(전체 ARM 리소스 ID)입니다. |
| TriggeredWhen | String |
Created 또는 Updated. 인시던트 또는 경고의 생성 또는 업데이트로 인해 규칙이 트리거되었는지 여부를 나타냅니다. |
Playbooks
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| IncidentName | String | 규칙이 트리거된 Microsoft Sentinel 인시던트 리소스 ID입니다. |
| IncidentNumber | String | 포털에 표시된 대로 Microsoft Sentinel 인시던트의 순차 번호입니다. |
| RunId | String | Logic Apps 워크플로의 이 트리거에 대한 실행 ID입니다. |
| TriggeredByName | 동적(json) | 플레이북을 트리거한 ID(사용자 또는 애플리케이션)에 대한 정보입니다. |
| TriggeredOn | String |
Incident; 플레이북이 트리거된 개체입니다.(경고 트리거를 사용하는 플레이북은 자동화 규칙에 의해 호출되는 경우에만 기록되므로 이러한 플레이북 실행은 자동화 규칙 이벤트의 TriggeredPlaybooks 확장 속성에 표시됩니다.) |
분석 규칙
분석 규칙에 대한 확장 속성은 특정 규칙 설정을 반영합니다.
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| AggregationKind | String | 이벤트 그룹화 설정입니다.
AlertPerResult 또는 SingleAlert. |
| AlertsGeneratedAmount | 정수 | 이 규칙 실행으로 생성된 경고 수입니다. |
| CorrelationId | String | GUID 형식의 이벤트 상관 관계 ID입니다. |
| EntitiesDroppedDueToMappingIssuesAmount | 정수 | 매핑 문제로 인해 삭제된 엔터티 수입니다. |
| EntitiesGeneratedAmount | 정수 | 이 규칙 실행으로 생성된 엔터티 수입니다. |
| 문제 | String | |
| QueryEndTimeUTC | 날짜와 시간 | 쿼리가 실행되기 시작한 UTC 시간입니다. |
| QueryFrequency | 날짜와 시간 | "모든 쿼리 실행" 설정의 값입니다(HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | 날짜와 시간 | "마지막 데이터 조회" 설정(HH:MM:SS)의 값입니다. |
| QueryResultAmount | 정수 | 쿼리에서 캡처한 결과 수입니다. 이 숫자가 아래에 정의된 임계값을 초과하면 규칙이 경고를 생성합니다. |
| QueryStartTimeUTC | 날짜와 시간 | 쿼리가 실행을 완료한 UTC 시간입니다. |
| 규칙 ID | String | 이 분석 규칙의 규칙 ID입니다. |
| SuppressionDuration | 시간 | 규칙 표시 안 함 기간(HH:MM:SS)입니다. |
| SuppressionEnabled | String | 규칙 표시 안 함이 사용하도록 설정되어 있는지 확인합니다.
True/False; |
| TriggerOperator | String | 경고를 생성하는 데 필요한 결과 임계값의 연산자 부분입니다. |
| TriggerThreshold | 정수 | 경고를 생성하는 데 필요한 결과 임계값의 수 부분입니다. |
| 트리거 유형 | String | 트리거되는 규칙의 유형입니다.
Scheduled 또는 NrtRun. |
다음 단계
- Microsoft Sentinel의 감사 및 상태 모니터링에 대해 알아봅니다.
- Microsoft Sentinel에서 감사 및 상태 모니터링을 켭니다.
- 자동화 규칙 및 플레이북의 상태를 모니터링합니다.
- 데이터 커넥터의 상태를 모니터링합니다.
- 분석 규칙의 상태 및 무결성을 모니터링합니다.
- SentinelAudit 테이블 참조