Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano pola w tabeli SentinelHealth używane do monitorowania kondycji zasobów usługi Microsoft Sentinel. Dzięki funkcji monitorowania kondycji usługi Microsoft Sentinel możesz śledzić prawidłowe działanie rozwiązania SIEM i uzyskać informacje na temat wszelkich dryfów kondycji w środowisku.
Dowiedz się, jak wykonywać zapytania i używać tabeli kondycji w celu dokładniejszego monitorowania i widoczności akcji w środowisku:
- W przypadku łączników danych
- W przypadku reguł automatyzacji i podręczników
- Reguły analizy
Funkcja monitorowania kondycji usługi Microsoft Sentinel obejmuje różne rodzaje zasobów (zobacz typy zasobów w polu SentinelResourceType w pierwszej tabeli poniżej). Wiele pól danych w poniższych tabelach ma zastosowanie w różnych typach zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jedną lub drugą stronę.
Schemat kolumn tabeli SentinelHealth
W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelHealth:
| ColumnName | Typ kolumny | Description |
|---|---|---|
| TenantId (identyfikator dzierżawy) | Sznurek | Identyfikator dzierżawy dla obszaru roboczego usługi Microsoft Sentinel. |
| TimeGenerated | Data i czas | Godzina (UTC), o której wystąpiło zdarzenie kondycji. |
| OperationName | Sznurek | Operacja kondycji. Możliwe wartości zależą od typu zasobu. Aby uzyskać szczegółowe informacje , zobacz Nazwy operacji dla różnych typów zasobów . |
| SentinelResourceId | Sznurek | Unikatowy identyfikator zasobu, na którym wystąpiło zdarzenie kondycji, oraz skojarzony z nim obszar roboczy usługi Microsoft Sentinel. |
| SentinelResourceName | Sznurek | Nazwa zasobu (łącznik, reguła lub podręcznik). |
| Stan | Sznurek | Wskazuje ogólny wynik operacji. Możliwe wartości zależą od nazwy operacji. Aby uzyskać szczegółowe informacje , zobacz Nazwy operacji dla różnych typów zasobów . |
| Opis | Sznurek | Opisuje operację, w tym rozszerzone dane zgodnie z potrzebami. W przypadku awarii może to obejmować szczegóły przyczyny błędu. |
| Powód | Enum | Przedstawia podstawowy kod przyczyny lub błędu dla błędu zasobu. Możliwe wartości zależą od typu zasobu. Bardziej szczegółowe przyczyny można znaleźć w polu Opis . |
| Identyfikator obszaru roboczego | Sznurek | Identyfikator GUID obszaru roboczego, na którym wystąpił problem z kondycją. Pełny identyfikator zasobu platformy Azure jest dostępny w kolumnie SentinelResourceID . |
| SentinelResourceType | Sznurek | Monitorowany typ zasobu usługi Microsoft Sentinel. Możliwe wartości: Data connector, , Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | Sznurek | Klasyfikacja zasobów w ramach typu zasobu. — W przypadku łączników danych jest to typ połączonego źródła danych. — W przypadku reguł analizy jest to typ reguły. |
| Identyfikator rekordu | Sznurek | Unikatowy identyfikator rekordu, który można udostępnić zespołowi pomocy technicznej w celu uzyskania lepszej korelacji zgodnie z potrzebami. |
| Właściwości rozszerzone | Dynamiczny (json) | Torba JSON, która różni się od wartości OperationName i stanu zdarzenia. Aby uzyskać szczegółowe informacje, zobacz Właściwości rozszerzone . |
| Typ | Sznurek | SentinelHealth |
Nazwy operacji dla różnych typów zasobów
| Typy zasobów | Nazwy operacji | Statusy |
|---|---|---|
| Moduły zbierające dane | Zmiana stanu pobierania danych __________________ Podsumowanie niepowodzenia pobierania danych |
Powodzenie Failure _____________ Informational |
| Reguły automatyzacji | Uruchamianie reguły automatyzacji | Powodzenie Powodzenie częściowe Failure |
| Podręczniki | Element playbook został wyzwolony | Powodzenie Failure |
| Reguły analizy | Uruchamianie reguły zaplanowanej analizy Uruchamianie reguły analizy NRT |
Powodzenie Failure |
Właściwości rozszerzone
Łączniki danych
W przypadku Data fetch status change zdarzeń ze wskaźnikiem powodzenia torba zawiera właściwość "DestinationTable", aby wskazać, gdzie dane z tego zasobu mają wylądować. W przypadku awarii zawartość różni się w zależności od typu błędu.
Reguły automatyzacji
| ColumnName | Typ kolumny | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Liczba akcji, które reguła automatyzacji została pomyślnie wyzwolona. |
| IncidentName | Sznurek | Identyfikator zasobu zdarzenia usługi Microsoft Sentinel, na którym została wyzwolona reguła. |
| Numer zdarzenia | Sznurek | Sekwencyjny numer zdarzenia usługi Microsoft Sentinel, jak pokazano w portalu. |
| TotalActions | Integer | Liczba akcji skonfigurowanych w tej regule automatyzacji. |
| Wyzwolone | Sznurek | Usługi Alert lub Incident. Obiekt, na którym została wyzwolona reguła. |
| Wyzwalane elementyPlaybook | Dynamiczny (json) | Lista podręczników, które zostały pomyślnie wyzwolone przez tę regułę automatyzacji. Każdy rekord podręcznika na liście zawiera: - Identyfikator przebiegu: Identyfikator przebiegu dla tego wyzwalacza przepływu pracy usługi Logic Apps - Identyfikator przepływu pracy: Unikatowy identyfikator (pełny identyfikator zasobu usługi ARM) zasobu przepływu pracy usługi Logic Apps. |
| WyzwoloneWhen | Sznurek | Usługi Created lub Updated. Wskazuje, czy reguła została wyzwolona z powodu utworzenia lub zaktualizowania zdarzenia lub alertu. |
Playbooks
| ColumnName | Typ kolumny | Description |
|---|---|---|
| IncidentName | Sznurek | Identyfikator zasobu zdarzenia usługi Microsoft Sentinel, na którym została wyzwolona reguła. |
| Numer zdarzenia | Sznurek | Sekwencyjny numer zdarzenia usługi Microsoft Sentinel, jak pokazano w portalu. |
| Identyfikator przebiegu | Sznurek | Identyfikator przebiegu dla tego wyzwalacza przepływu pracy usługi Logic Apps. |
| TriggeredByName | Dynamiczny (json) | Informacje o tożsamości (użytkowniku lub aplikacji), które wyzwoliły podręcznik. |
| Wyzwolone | Sznurek |
Incident. Obiekt, na którym został wyzwolony podręcznik.(Podręczniki korzystające z wyzwalacza alertu są rejestrowane tylko wtedy, gdy są wywoływane przez reguły automatyzacji, więc te przebiegi podręcznika będą wyświetlane w rozszerzonej właściwości TriggeredPlaybook w ramach zdarzeń reguły automatyzacji). |
Reguły analizy
Rozszerzone właściwości reguł analizy odzwierciedlają określone ustawienia reguły.
| ColumnName | Typ kolumny | Description |
|---|---|---|
| AgregacjaKind | Sznurek | Ustawienie grupowania zdarzeń. Usługi AlertPerResult lub SingleAlert. |
| AlertsGeneratedAmount | Integer | Liczba alertów wygenerowanych przez uruchomienie reguły. |
| Identyfikator korelacji | Sznurek | Identyfikator korelacji zdarzeń w formacie GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Liczba jednostek porzuconych z powodu problemów z mapowaniem. |
| EntitiesGeneratedAmount | Integer | Liczba jednostek wygenerowanych przez to uruchomienie reguły. |
| Problemy | Sznurek | |
| QueryEndTimeUTC | Data i czas | Czas UTC uruchomienia zapytania. |
| KwerendaFrequency | Data i czas | Wartość ustawienia "Uruchom zapytanie co" (HH:MM:SS). |
| QueryPerformanceIndicators | Sznurek | |
| ZapytaniePeriod | Data i czas | Wartość ustawienia "Wyszukiwanie danych z ostatniego" (HH:MM:SS). |
| QueryResultAmount | Integer | Liczba wyników przechwyconych przez zapytanie. Reguła wygeneruje alert, jeśli ta liczba przekroczy próg, zgodnie z definicją poniżej. |
| QueryStartTimeUTC | Data i czas | Czas UTC, przez który zapytanie zakończyło jego uruchomienie. |
| Identyfikator reguły | Sznurek | Identyfikator reguły dla tej reguły analizy. |
| TłumienieDuration | Time | Czas trwania pomijania reguły (HH:MM:SS). |
| SuppressionEnabled | Sznurek | Czy włączono pomijanie reguł.
True/False. |
| TriggerOperator | Sznurek | Część operatora progu wyników wymaganych do wygenerowania alertu. |
| TriggerThreshold | Integer | Liczba części progu wyników wymaganych do wygenerowania alertu. |
| Typ wyzwalacza | Sznurek | Typ wyzwalanej reguły. Usługi Scheduled lub NrtRun. |
Dalsze kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
- Włącz inspekcję i monitorowanie kondycji w usłudze Microsoft Sentinel.
- Monitorowanie kondycji reguł automatyzacji i podręczników.
- Monitorowanie kondycji łączników danych.
- Monitoruj kondycję i integralność reguł analizy.
- Dokumentacja tabel SentinelAudit