Naslaginformatie over Microsoft Sentinel-statustabellen
In dit artikel worden de velden in de tabel SentinelHealth beschreven die worden gebruikt voor het bewaken van de status van Microsoft Sentinel-resources. Met de microsoft Sentinel-functie voor statuscontrole kunt u de juiste werking van uw SIEM in de gaten houden en informatie krijgen over eventuele afwijkingen in de status van uw omgeving.
Meer informatie over het uitvoeren van query's en het gebruik van de statustabel voor meer controle en zichtbaarheid van acties in uw omgeving:
- Voor gegevensconnectors
- Voor automatiseringsregels en playbooks
- Voor analyseregels
Belangrijk
De gegevenstabel SentinelHealth is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie of preview zijn of die nog niet algemeen beschikbaar zijn.
De statuscontrolefunctie van Microsoft Sentinel heeft betrekking op verschillende soorten resources (zie de resourcetypen in het veld SentinelResourceType in de eerste tabel hieronder). Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven de ene of de andere manier aan.
Tabelkolommenschema SentinelHealth
In de volgende tabel worden de kolommen en gegevens beschreven die zijn gegenereerd in de gegevenstabel SentinelHealth:
| ColumnName | ColumnType | Beschrijving |
|---|---|---|
| Tenant-ID | Tekenreeks | De tenant-id voor uw Microsoft Sentinel-werkruimte. |
| TimeGenerated | Datum/tijd | De tijd (UTC) waarop de statusgebeurtenis heeft plaatsgevonden. |
| OperationName | Tekenreeks | De statusbewerking. Mogelijke waarden zijn afhankelijk van het resourcetype. Zie Bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| SentinelResourceId | Tekenreeks | De unieke id van de resource waarop de statusgebeurtenis heeft plaatsgevonden en de bijbehorende Microsoft Sentinel-werkruimte. |
| SentinelResourceName | Tekenreeks | De naam van de resource (connector, regel of playbook). |
| Status | Tekenreeks | Geeft het algemene resultaat van de bewerking aan. Mogelijke waarden zijn afhankelijk van de naam van de bewerking. Zie Bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| Beschrijving | Tekenreeks | Beschrijft de bewerking, inclusief uitgebreide gegevens indien nodig. Voor fouten kan dit details van de reden van de fout bevatten. |
| Reden | Enum | Toont een basisreden of foutcode voor de fout van de resource. Mogelijke waarden zijn afhankelijk van het resourcetype. Meer gedetailleerde redenen vindt u in het veld Beschrijving . |
| WorkspaceId | Tekenreeks | De werkruimte-GUID waarop het statusprobleem is opgetreden. De volledige Azure-resource-id is beschikbaar in de kolom SentinelResourceID . |
| SentinelResourceType | Tekenreeks | Het Microsoft Sentinel-resourcetype dat wordt bewaakt. Mogelijke waarden: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Tekenreeks | Een resourceclassificatie binnen het resourcetype. - Voor gegevensconnectors is dit het type verbonden gegevensbron. - Voor analyseregels is dit het type regel. |
| Record-id | Tekenreeks | Een unieke id voor de record die kan worden gedeeld met het ondersteuningsteam voor een betere correlatie, indien nodig. |
| ExtendedProperties | Dynamisch (json) | Een JSON-bag die varieert op basis van de waarde van OperationName en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Type | Tekenreeks | SentinelHealth |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Namen van bewerkingen | Statussen |
|---|---|---|
| Gegevensverzamelaars | Statuswijziging van gegevens ophalen __________________ Samenvatting van fouten bij het ophalen van gegevens |
Geslaagd Fout _____________ Informatief |
| Automatiseringsregels | Automation-regeluitvoering | Geslaagd Gedeeltelijk geslaagd Fout |
| Playbooks | Playbook is geactiveerd | Geslaagd Fout |
| Analyseregels | Geplande analyseregeluitvoering NRT-analyseregeluitvoering |
Geslaagd Fout |
Uitgebreide eigenschappen
Gegevensconnectors
Voor Data fetch status change gebeurtenissen met een geslaagde indicator bevat de bag de eigenschap DestinationTable om aan te geven waar gegevens van deze resource naar verwachting terechtkomen. Voor fouten varieert de inhoud, afhankelijk van het fouttype.
Automatiseringsregels
| ColumnName | ColumnType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Geheel getal | Het aantal acties dat door de automatiseringsregel is geactiveerd. |
| IncidentName | Tekenreeks | De resource-id van het Microsoft Sentinel-incident waarvoor de regel is geactiveerd. |
| IncidentNumber | Tekenreeks | Het volgnummer van het Microsoft Sentinel-incident, zoals weergegeven in de portal. |
| TotalActions | Geheel getal | Het aantal acties dat is geconfigureerd in deze automatiseringsregel. |
| TriggeredOn | Tekenreeks |
Alert of Incident. Het object waarvoor de regel is geactiveerd. |
| TriggeredPlaybooks | Dynamisch (json) | Een lijst met playbooks die door deze automatiseringsregel zijn geactiveerd. Elke playbook-record in de lijst bevat: - RunId: De uitvoerings-id voor deze triggering van de Logic Apps-werkstroom - WorkflowId: De unieke id (volledige ARM-resource-id) van de Logic Apps-werkstroomresource. |
| GeactiveerdWanneer | Tekenreeks |
Created of Updated. Geeft aan of de regel is geactiveerd vanwege het maken of bijwerken van een incident of waarschuwing. |
Playbooks
| ColumnName | ColumnType | Description |
|---|---|---|
| IncidentName | Tekenreeks | De resource-id van het Microsoft Sentinel-incident waarvoor de regel is geactiveerd. |
| IncidentNumber | Tekenreeks | Het volgnummer van het Microsoft Sentinel-incident, zoals weergegeven in de portal. |
| RunId | Tekenreeks | De uitvoerings-id voor deze activering van de Logic Apps-werkstroom. |
| TriggeredByName | Dynamisch (json) | Informatie over de identiteit (gebruiker of toepassing) die het playbook heeft geactiveerd. |
| TriggeredOn | Tekenreeks |
Incident. Het object waarop het playbook is geactiveerd.(Playbooks die de waarschuwingstrigger gebruiken, worden alleen geregistreerd als ze worden aangeroepen door automatiseringsregels, zodat deze playbook-uitvoeringen worden weergegeven in de uitgebreide eigenschap TriggeredPlaybooks onder automatiseringsregelgebeurtenissen.) |
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| ColumnName | ColumnType | Description |
|---|---|---|
| AggregationKind | Tekenreeks | De instelling voor gebeurtenisgroepering.
AlertPerResult of SingleAlert. |
| AlertsGeneratedAmount | Geheel getal | Het aantal waarschuwingen dat wordt gegenereerd door deze uitvoering van de regel. |
| CorrelationId | Tekenreeks | De gebeurteniscorrelatie-id in GUID-indeling. |
| EntitiesDroppedDueToMappingIssuesAmount | Geheel getal | Het aantal entiteiten dat is verwijderd vanwege toewijzingsproblemen. |
| EntitiesGeneratedAmount | Geheel getal | Het aantal entiteiten dat wordt gegenereerd door deze uitvoering van de regel. |
| Problemen | Tekenreeks | |
| QueryEndTimeUTC | Datum/tijd | De UTC-tijd waarop de query begon te worden uitgevoerd. |
| QueryFrequency | Datum/tijd | Waarde van de instelling 'Query elke uitvoeren' (UU:MM:SS). |
| QueryPerformanceIndicators | Tekenreeks | |
| QueryPeriode | Datum/tijd | Waarde van de instelling 'Lookup data from the last' (UU:MM:SS). |
| QueryResultAmount | Geheel getal | Het aantal resultaten dat door de query is vastgelegd. De regel genereert een waarschuwing als dit aantal de hieronder gedefinieerde drempelwaarde overschrijdt. |
| QueryStartTimeUTC | Datum/tijd | De UTC-tijd waarop de query is uitgevoerd. |
| RuleId | Tekenreeks | De regel-id voor deze analyseregel. |
| SuppressionDuration | Tijd | De regelonderdrukkingsduur (UU:MM:SS). |
| SuppressionEnabled | Tekenreeks | Is regelonderdrukking ingeschakeld.
True/False. |
| TriggerOperator | Tekenreeks | Het operatorgedeelte van de drempelwaarde voor resultaten die is vereist om een waarschuwing te genereren. |
| TriggerThreshold | Geheel getal | Het aantal dat deel van de drempelwaarde voor resultaten is vereist om een waarschuwing te genereren. |
| TriggerType | Tekenreeks | Het type regel dat wordt geactiveerd.
Scheduled of NrtRun. |
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in Microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Naslaginformatie over SentinelAudit-tabellen