Dokumentacja tabel kondycji usługi Microsoft Sentinel
W tym artykule opisano pola w tabeli SentinelHealth używane do monitorowania kondycji zasobów usługi Microsoft Sentinel. Dzięki funkcji monitorowania kondycji usługi Microsoft Sentinel możesz zachować karty na temat prawidłowego funkcjonowania rozwiązania SIEM i uzyskać informacje na temat wszelkich dryfów kondycji w środowisku.
Dowiedz się, jak wykonywać zapytania i używać tabeli kondycji w celu dokładniejszego monitorowania i widoczności akcji w środowisku:
- W przypadku łączników danych
- Reguły automatyzacji i podręczniki
- Reguły analizy
Ważne
Tabela danych SentinelHealth jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla platformy Microsoft Azure w wersji zapoznawczej , aby uzyskać dodatkowe warunki prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w ogólnej dostępności.
Funkcja monitorowania kondycji usługi Microsoft Sentinel obejmuje różne rodzaje zasobów (zobacz typy zasobów w polu SentinelResourceType w pierwszej tabeli poniżej). Wiele pól danych w poniższych tabelach ma zastosowanie w różnych typach zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jeden lub drugi sposób.
Schemat kolumn tabeli SentinelHealth
W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelHealth:
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| Identyfikator dzierżawy | Ciąg | Identyfikator dzierżawy dla obszaru roboczego usługi Microsoft Sentinel. |
| TimeGenerated | Datetime (data/godzina) | Godzina (UTC), o której wystąpiło zdarzenie kondycji. |
| Operationname | Ciąg | Operacja kondycji. Możliwe wartości zależą od typu zasobu. Aby uzyskać szczegółowe informacje , zobacz Nazwy operacji dla różnych typów zasobów . |
| SentinelResourceId | Ciąg | Unikatowy identyfikator zasobu, na którym wystąpiło zdarzenie kondycji, oraz skojarzony z nim obszar roboczy usługi Microsoft Sentinel. |
| SentinelResourceName | Ciąg | Nazwa zasobu (łącznik, reguła lub podręcznik). |
| Stan | Ciąg | Wskazuje ogólny wynik operacji. Możliwe wartości zależą od nazwy operacji. Aby uzyskać szczegółowe informacje , zobacz Nazwy operacji dla różnych typów zasobów . |
| Opis | Ciąg | Opisuje operację, w tym rozszerzone dane zgodnie z potrzebami. W przypadku awarii może to obejmować szczegółowe informacje o przyczynie awarii. |
| Przyczyna | Wyliczenie | Przedstawia podstawowy kod błędu lub przyczyny niepowodzenia zasobu. Możliwe wartości zależą od typu zasobu. Bardziej szczegółowe przyczyny można znaleźć w polu Opis . |
| Identyfikator obszaru roboczego | Ciąg | Identyfikator GUID obszaru roboczego, w którym wystąpił problem z kondycją. Pełny identyfikator zasobu platformy Azure jest dostępny w kolumnie SentinelResourceID . |
| SentinelResourceType | Ciąg | Monitorowany typ zasobu usługi Microsoft Sentinel. Możliwe wartości: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | Ciąg | Klasyfikacja zasobów w obrębie typu zasobu. — W przypadku łączników danych jest to typ połączonego źródła danych. — W przypadku reguł analizy jest to typ reguły. |
| Identyfikator rekordu | Ciąg | Unikatowy identyfikator rekordu, który można udostępnić zespołowi pomocy technicznej w celu uzyskania lepszej korelacji w razie potrzeby. |
| ExtendedProperties | Dynamiczny (json) | Torba JSON, która różni się od wartości OperationName i stanu zdarzenia. Aby uzyskać szczegółowe informacje, zobacz Właściwości rozszerzone . |
| Typ | Ciąg | SentinelHealth |
Nazwy operacji dla różnych typów zasobów
| Typy zasobów | Nazwy operacji | Statusy |
|---|---|---|
| Moduły zbierające dane | Zmiana stanu pobierania danych __________________ Podsumowanie niepowodzenia pobierania danych |
Powodzenie Niepowodzenie _____________ Informacyjne |
| Reguły automatyzacji | Uruchamianie reguły automatyzacji | Powodzenie Powodzenie częściowe Niepowodzenie |
| Podręczniki | Element playbook został wyzwolony | Powodzenie Niepowodzenie |
| Reguły analizy | Uruchamianie reguły zaplanowanej analizy Uruchamianie reguły analizy NRT |
Powodzenie Niepowodzenie |
Właściwości rozszerzone
Łączniki danych
W przypadku Data fetch status change zdarzeń ze wskaźnikiem powodzenia torba zawiera właściwość "DestinationTable", aby wskazać, gdzie dane z tego zasobu mają wylądować. W przypadku awarii zawartość różni się w zależności od typu błędu.
Reguły automatyzacji
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| ActionsTriggeredSuccessfully | Liczba całkowita | Liczba akcji, które reguła automatyzacji została pomyślnie wyzwolona. |
| IncidentName | Ciąg | Identyfikator zasobu zdarzenia usługi Microsoft Sentinel, na którym została wyzwolona reguła. |
| IncidentNumber | Ciąg | Sekwencyjny numer zdarzenia usługi Microsoft Sentinel, jak pokazano w portalu. |
| TotalActions | Liczba całkowita | Liczba akcji skonfigurowanych w tej regule automatyzacji. |
| Wyzwolone | Ciąg |
Alert lub Incident. Obiekt, na którym została wyzwolona reguła. |
| Wyzwolone elementyPlaybook | Dynamiczny (json) | Lista podręczników, które zostały pomyślnie wyzwolone przez tę regułę automatyzacji. Każdy rekord podręcznika na liście zawiera: - Identyfikator RunId: Identyfikator uruchomienia dla tego wyzwalacza przepływu pracy usługi Logic Apps - Identyfikator przepływu pracy: Unikatowy identyfikator (pełny identyfikator zasobu usługi ARM) zasobu przepływu pracy usługi Logic Apps. |
| WyzwalaneWhen | Ciąg |
Created lub Updated. Wskazuje, czy reguła została wyzwolona z powodu utworzenia lub zaktualizowania zdarzenia, czy alertu. |
Podręczniki
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| IncidentName | Ciąg | Identyfikator zasobu zdarzenia usługi Microsoft Sentinel, na którym została wyzwolona reguła. |
| IncidentNumber | Ciąg | Sekwencyjny numer zdarzenia usługi Microsoft Sentinel, jak pokazano w portalu. |
| RunId | Ciąg | Identyfikator uruchomienia dla tego wyzwalacza przepływu pracy usługi Logic Apps. |
| TriggeredByName | Dynamiczny (json) | Informacje na temat tożsamości (użytkownika lub aplikacji), która wyzwoliła podręcznik. |
| Wyzwolone | Ciąg |
Incident. Obiekt, na którym został wyzwolony podręcznik.(Podręczniki korzystające z wyzwalacza alertu są rejestrowane tylko wtedy, gdy są wywoływane przez reguły automatyzacji, więc te przebiegi podręcznika będą wyświetlane w rozszerzonej właściwości TriggeredPlaybook w ramach zdarzeń reguły automatyzacji). |
Reguły analizy
Rozszerzone właściwości reguł analizy odzwierciedlają pewne ustawienia reguł.
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| AgregacjaKind | Ciąg | Ustawienie grupowania zdarzeń.
AlertPerResult lub SingleAlert. |
| AlertsGeneratedAmount | Liczba całkowita | Liczba alertów generowanych przez uruchomienie reguły. |
| Correlationid | Ciąg | Identyfikator korelacji zdarzeń w formacie GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Liczba całkowita | Liczba jednostek porzuconych z powodu problemów z mapowaniem. |
| EntitiesGeneratedAmount | Liczba całkowita | Liczba jednostek wygenerowanych przez uruchomienie reguły. |
| Problemy | Ciąg | |
| QueryEndTimeUTC | Datetime (data/godzina) | Czas UTC uruchomienia zapytania. |
| QueryFrequency | Datetime (data/godzina) | Wartość ustawienia "Uruchom zapytanie każde" (HH:MM:SS). |
| QueryPerformanceIndicators | Ciąg | |
| QueryPeriod | Datetime (data/godzina) | Wartość ustawienia "Wyszukiwanie danych z ostatniego" (HH:MM:SS). |
| QueryResultAmount | Liczba całkowita | Liczba wyników przechwyconych przez zapytanie. Reguła wygeneruje alert, jeśli ta liczba przekroczy próg zdefiniowany poniżej. |
| QueryStartTimeUTC | Datetime (data/godzina) | Czas UTC wykonania zapytania. |
| Ruleid | Ciąg | Identyfikator reguły dla tej reguły analizy. |
| PomijanieDuracji | Godzina | Czas trwania pomijania reguły (HH:MM:SS). |
| PomijanieEnabled | Ciąg | Czy włączono pomijanie reguł.
True/False. |
| TriggerOperator | Ciąg | Część progowa wartości progowej wyników wymaganych do wygenerowania alertu. |
| TriggerThreshold | Liczba całkowita | Liczba części progu wyników wymaganych do wygenerowania alertu. |
| Typ wyzwalacza | Ciąg | Typ wyzwalanej reguły.
Scheduled lub NrtRun. |
Następne kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
- Włącz inspekcję i monitorowanie kondycji w usłudze Microsoft Sentinel.
- Monitorowanie kondycji reguł automatyzacji i podręczników.
- Monitorowanie kondycji łączników danych.
- Monitoruj kondycję i integralność reguł analizy.
- Odwołanie do tabel SentinelAudit