次の方法で共有


Microsoft Sentinel 正常性テーブルのリファレンス

この記事では、Microsoft Sentinel リソースの正常性の監視に使用される SentinelHealth テーブルのフィールドについて説明します。 Microsoft Sentinel の稼働状況の監視機能を使用すると、SIEM の適切な機能を監視し、環境内に生じたあらゆる正常性ドリフトの情報を把握することができます。

正常性テーブルに対してクエリを実行したり正常性テーブルを使用したりすることによって、環境内のアクションをより注意深く監視し、可視性を高める方法について説明します。

重要

SentinelHealth データ テーブルは、現在、プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Sentinel の正常性監視機能は、さまざまなリソースを対象としています (以下に示す 1 つ目のテーブルの SentinelResourceType フィールドのリソースの型を参照してください)。 以下のテーブルのデータ フィールドは、その多くがリソースの種類に関係なく当てはまりますが、中には種類ごとに固有の用途があるものもあります。 以下の説明は、そのいずれか 1 つの用途を示しています。

SentinelHealth テーブル列のスキーマ

次の表では、SentinelHealth データ テーブルで生成される列とデータについて説明します。

ColumnName [列の型] 説明
TenantId String Microsoft Sentinel ワークスペースのテナント ID。
TimeGenerated Datetime 正常性イベントが発生した時刻 (UTC)。
OperationName String 正常性操作。 候補となる値は、リソースの種類によって異なります。
詳細については、「リソースの種類ごとの操作名」を参照してください。
SentinelResourceId String 正常性イベントが発生したリソースとそれに関連する Microsoft Sentinel ワークスペースの一意識別子。
SentinelResourceName String リソースの名前 (コネクタ、ルール、またはプレイブック)。
Status String 操作の全体的な結果を示します。 候補となる値は、操作名によって異なります。
詳細については、「リソースの種類ごとの操作名」を参照してください。
説明 String 必要に応じて拡張データを含む操作について説明します。 エラーの場合は、エラーの理由について詳しい情報が含まれることもあります。
理由 列挙型 リソースのエラーに関する基本的な理由またはエラー コードを示します。 候補となる値は、リソースの種類によって異なります。 Description フィールドでさらに詳しい理由を確認できます。
WorkspaceId String 正常性の問題が発生したワークスペースの GUID。 完全な Azure リソース識別子は、SentinelResourceID 列で使用できます。
SentinelResourceType String 監視対象の Microsoft Sentinel リソースの種類:
指定できる値: Data connectorAutomation rulePlaybookAnalytics rule
SentinelResourceKind String リソースの種類内のリソース分類。
- データ コネクタの場合、これは接続されたデータ ソースの種類です。
- 分析ルールの場合、これはルールの種類です。
RecordId String 必要に応じて、相互の関係の向上のためにサポート チームと共有できるレコードの一意識別子。
ExtendedProperties 動的 (json) イベントの StatusOperationName 値によって異なる JSON バッグ。
詳細については、「拡張プロパティ」を参照してください。
Type String SentinelHealth

リソースの種類ごとの操作名

リソースの種類 操作名 ステータス
データ コレクター Data fetch status change (データ フェッチの状態の変更)

__________________
Data fetch failure summary (データ フェッチ エラーの概要)
Success
障害
_____________
Informational
オートメーション ルール Automation rule run (オートメーション ルールが実行された) Success
一部成功
障害
プレイブック Playbook was triggered (プレイブックがトリガーされた) Success
障害
分析ルール スケジュールされた分析ルールの実行
NRT 分析ルールの実行
Success
障害

拡張プロパティ

データ コネクタ

成功インジケーターを持つ Data fetch status change イベントの場合、このバッグには、このコネクタからのデータが到着すると予想される場所を示す "DestinationTable" プロパティが含まれます。 失敗の場合は、失敗の種類によって内容が異なります。

オートメーション ルール

ColumnName [列の型] 説明
ActionsTriggeredSuccessfully Integer オートメーション ルールが正常にトリガーされたアクションの数。
IncidentName String ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。
IncidentNumber String ポータルに表示される Microsoft Sentinel インシデントのシーケンシャル番号。
TotalActions Integer このオートメーション ルールに構成されているアクションの数。
TriggeredOn String Alert または Incident。 ルールがトリガーされたオブジェクト。
TriggeredPlaybooks 動的 (json) このオートメーション ルールが正常にトリガーされたプレイブックのリスト。

リスト内の各プレイブック レコードは、次の情報を保持します。
- RunId: この Logic Apps ワークフロー トリガーの実行 ID。
- WorkflowId: Logic Apps ワークフロー リソースの一意識別子 (完全な ARM リソース ID)。
TriggeredWhen String Created または Updated。 インシデントまたはアラートの作成または更新によってルールがトリガーされたかどうかを示します。

プレイブック

ColumnName [列の型] 説明
IncidentName String ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。
IncidentNumber String ポータルに表示される Microsoft Sentinel インシデントのシーケンシャル番号。
RunId String この Logic Apps ワークフロー トリガーの実行 ID。
TriggeredByName 動的 (json) プレイブックをトリガーした ID (ユーザーまたはアプリケーション) に関する情報。
TriggeredOn String Incident. プレイブックがトリガーされたオブジェクト。
(アラート トリガーを使用するプレイブックがログに記録されるのは、オートメーション ルールによって呼び出された場合のみです。そのため、これらのプレイブックの実行は、オートメーション ルール イベントの TriggeredPlaybooks 拡張プロパティに反映されます。)

分析ルール

分析ルールの拡張プロパティには、特定のルール設定が反映されます。

ColumnName [列の型] 説明
AggregationKind String イベントのグループ化設定。 AlertPerResult または SingleAlert
AlertsGeneratedAmount Integer このルールの実行によって生成されたアラートの数。
CorrelationId String GUID 形式のイベント関連付け ID。
EntitiesDroppedDueToMappingIssuesAmount Integer マッピングの問題でドロップされたエンティティの数。
EntitiesGeneratedAmount Integer このルールの実行によって生成されたエンティティの数。
問題 String
QueryEndTimeUTC Datetime クエリの実行が開始された UTC 時刻。
QueryFrequency Datetime [クエリの実行間隔] 設定 (HH:MM:SS) の値。
QueryPerformanceIndicators String
QueryPeriod Datetime [過去のデータを参照します] 設定 (HH:MM:SS) の値。
QueryResultAmount Integer クエリによって取り込まれた結果の数。
以下に定義されているしきい値をこの数値が超えると、ルールによってアラートが生成されます。
QueryStartTimeUTC Datetime クエリの実行が完了した UTC 時刻。
RuleId String この分析ルールのルール ID。
SuppressionDuration 時刻 ルールの抑制期間 (HH:MM:SS)。
SuppressionEnabled String ルールの抑制が有効かどうか。 True/False.
TriggerOperator String アラートを生成するために必要な結果のしきい値の演算子部分。
TriggerThreshold Integer アラートを生成するために必要な結果のしきい値の数値部分。
TriggerType String トリガーされるルールの種類。 Scheduled または NrtRun

次のステップ