本文說明 SentinelHealth 資料表中用來監視 Microsoft Sentinel 資源健康情況的欄位。 透過 Microsoft Sentinel 健康情況監視功能,您可以密切注意 SIEM 的正常運作,並取得環境中任何健康情況漂移的相關資訊。
瞭解如何查詢及使用健康情況資料表,以更深入地監控和檢視環境中的動作:
- 對於 資料連接器
- 對於 自動化規則和教戰手冊
- 針對 分析規則
Microsoft Sentinel 的健康情況監視功能涵蓋不同類型的資源 (請參閱下表中 SentinelResourceType 欄位中的資源類型) 。 下表中的許多資料欄位都適用於資源類型,但有些欄位對每種類型都有特定的應用程式。 下面的描述將指示一種或另一種方式。
SentinelHealth 資料表資料行結構描述
下表說明 SentinelHealth 資料表中產生的資料行和資料:
| ColumnName | 欄位類型 | Description |
|---|---|---|
| 租戶標識碼 | 繩子 | Microsoft Sentinel 工作區的租用戶識別碼。 |
| 時間生成 | 日期時間 | 健康情況事件發生的時間 (UTC)。 |
| 作業名稱 | 繩子 | 健康操作。 可能的值取決於資源類型。 如需詳細資料,請參閱 不同資源類型的作業名稱 。 |
| SentinelResourceId | 繩子 | 發生健康情況事件之資源的唯一識別碼,及其相關聯的 Microsoft Sentinel 工作區。 |
| SentinelResourceName | 繩子 | 資源的名稱 (連接器、規則或教戰手冊)。 |
| 地位 | 繩子 | 指出作業的整體結果。 可能的值取決於作業名稱。 如需詳細資料,請參閱 不同資源類型的作業名稱 。 |
| 說明 | 繩子 | 描述作業,包括視需要的擴充資料。 對於失敗,這可以包括失敗原因的詳細資訊。 |
| 緣 | Enum | 顯示資源失敗的基本原因或錯誤碼。 可能的值取決於資源類型。 更詳細的原因可以在 描述 欄位中找到。 |
| 工作區標識 | 繩子 | 發生健康情況問題的工作區 GUID。 完整的 Azure 資源識別碼可在 SentinelResourceID 資料行中找到。 |
| SentinelResourceType | 繩子 | 正在監視的 Microsoft Sentinel 資源類型。 可能的值: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | 繩子 | 資源類型內的資源分類。 - 對於資料連接器,這是已連接資料來源的類型。 - 對於分析規則,這是規則類型。 |
| 記錄標識碼 | 繩子 | 記錄的唯一識別碼,可與支援團隊共用,以便視需要提供更好的關聯性。 |
| 擴充屬性 | 動態 (json) | JSON 包,會因事件的 OperationName 值和 狀態 而異。 如需詳細資訊,請參閱 擴充內容 。 |
| Type | 繩子 | SentinelHealth |
不同資源類型的作業名稱
| 資源類型 | 作業名稱 | Statuses |
|---|---|---|
| 資料收集器 | 資料擷取狀態變更 __________________ 資料擷取失敗摘要 |
成功 Failure _____________ Informational |
| 自動化規則 | 自動化規則執行 | 成功 部分成功 Failure |
| 教戰手冊 | 已觸發教戰手冊 | 成功 Failure |
| 分析規則 | 排程分析規則執行 NRT 分析規則執行 |
成功 Failure |
擴充屬性
數據連接器
對於 Data fetch status change 具有成功指標的事件,包包含 'DestinationTable' 屬性,以指出此資源中的資料預期會登陸的位置。 對於故障,內容會因故障類型而異。
自動化規則
| ColumnName | 欄位類型 | Description |
|---|---|---|
| 動作觸發成功 | 整數 | 自動化規則成功觸發的動作數。 |
| 事件名稱 | 繩子 | 觸發規則之 Microsoft Sentinel 事件的資源識別碼。 |
| 事件編號 | 繩子 | 入口網站中顯示的 Microsoft Sentinel 事件序號。 |
| 總動作 | 整數 | 此自動化規則中設定的動作數目。 |
| 觸發時 | 繩子 |
Alert 或 Incident。 觸發規則的物件。 |
| 觸發劇本 | 動態 (json) | 此自動化規則成功觸發的教戰手冊清單。 清單中的每個教戰手冊記錄都包含: - 運行標元: 此觸發 Logic Apps 工作流程的執行識別碼 - WorkflowId: Logic Apps 工作流程資源的唯一識別碼 (完整的 ARM 資源識別碼)。 |
| 觸發時間 | 繩子 |
Created 或 Updated。 指出規則是否因事件或警示的建立或更新而觸發。 |
Playbooks
| ColumnName | 欄位類型 | Description |
|---|---|---|
| 事件名稱 | 繩子 | 觸發規則之 Microsoft Sentinel 事件的資源識別碼。 |
| 事件編號 | 繩子 | 入口網站中顯示的 Microsoft Sentinel 事件序號。 |
| 運行標識 | 繩子 | 此觸發 Logic Apps 工作流程的執行識別碼。 |
| 觸發者名稱 | 動態 (json) | 觸發教戰手冊之身分 (使用者或應用程式) 的相關資訊。 |
| 觸發時 | 繩子 |
Incident。 觸發教戰手冊的物件。(只有在自動化規則呼叫使用警示觸發程式的教戰手冊時,才會記錄它們,因此這些教戰手冊執行會出現在自動化規則事件下的 TriggeredPlaybooks 擴充屬性中。 |
分析規則
分析規則的擴充屬性會反映特定 規則設定。
| ColumnName | 欄位類型 | Description |
|---|---|---|
| 聚合種類 | 繩子 | 事件分組設定。
AlertPerResult 或 SingleAlert。 |
| 警示產生量 | 整數 | 此規則執行所產生的警示數目。 |
| CorrelationId | 繩子 | GUID 格式的事件相互關聯識別碼。 |
| EntitiesDroppedDueToMappingIssuesAmount | 整數 | 由於對應問題而捨棄的實體數目。 |
| EntitiesGeneratedAmount | 整數 | 此規則執行所產生的實體數目。 |
| 問題 | 繩子 | |
| 查詢結束時間UTC | 日期時間 | 查詢開始執行的 UTC 時間。 |
| 查詢頻率 | 日期時間 | 「執行查詢間隔」設定的值 (HH:MM:SS)。 |
| 查詢效能指標 | 繩子 | |
| 查詢期間 | 日期時間 | 「從上次查閱資料」設定的值 (HH:MM:SS)。 |
| 查詢結果金額 | 整數 | 查詢所擷取的結果數目。 如果此數字超過下面定義的閾值,則規則將產生警示。 |
| 查詢開始時間UTC | 日期時間 | 查詢完成執行的 UTC 時間。 |
| 規則標識碼 | 繩子 | 此分析規則的規則識別碼。 |
| 抑制持續時間 | Time | 規則抑制持續時間 (HH:MM:SS)。 |
| 已啟用隱藏 | 繩子 | 是否啟用規則隱藏。
True/False。 |
| 觸發運算子 | 繩子 | 產生警示所需的結果臨界值的操作員部分。 |
| 觸發閾值 | 整數 | 產生警示所需結果臨界值的數字部分。 |
| 觸發類型 | 繩子 | 要觸發的規則類型。
Scheduled 或 NrtRun。 |
後續步驟
- 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視。
- 監控自動化規則和教戰手冊的運作狀態。
- 監控資料連接器的健康情況。
- 監控分析規則的運作狀態和完整性。
- SentinelAudit 資料表參考