Справочник по таблицам работоспособности Microsoft Sentinel
В этой статье описываются поля в таблице SentinelHealth , используемые для мониторинга работоспособности ресурсов Microsoft Sentinel. С помощью функции мониторинга работоспособности Microsoft Sentinel вы можете следить за правильной работоспособностью SIEM и получать сведения о любых отклонениях работоспособности в вашей среде.
Узнайте, как запрашивать и использовать таблицу работоспособности для более глубокого мониторинга и видимости действий в вашей среде:
Важно!
Таблица данных SentinelHealth в настоящее время предоставляется в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Функция мониторинга работоспособности Microsoft Sentinel охватывает различные виды ресурсов (см. типы ресурсов в поле SentinelResourceType в первой таблице ниже). Многие поля данных в следующих таблицах применяются к различным типам ресурсов, но некоторые из них имеют определенные приложения для каждого типа. В приведенных ниже описаниях будет указано, что так или иначе.
Схема столбцов SentinelHealth
В следующей таблице описаны столбцы и данные, созданные в таблице данных SentinelHealth:
| ColumnName | ColumnType | Описание |
|---|---|---|
| TenantId | Строка | Идентификатор арендатора для рабочей области Microsoft Sentinel. |
| TimeGenerated | Datetime | Время (UTC), в которое произошло событие работоспособности. |
| OperationName | Строка | Операция работоспособности. Возможные значения зависят от типа ресурса. Дополнительные сведения см . в разделе Имена операций для различных типов ресурсов . |
| SentinelResourceId | Строка | Уникальный идентификатор ресурса, в котором произошло событие работоспособности, и связанной с ним рабочей области Microsoft Sentinel. |
| SentinelResourceName | Строка | Имя ресурса (соединителя, правила или сборника схем). |
| Состояние | Строка | Указывает общий результат операции. Возможные значения зависят от имени операции. Дополнительные сведения см . в разделе Имена операций для различных типов ресурсов . |
| Описание | Строка | Описывает операцию, при необходимости включая расширенные данные. В случае сбоев это может включать сведения о причине сбоя. |
| Причина | Перечисление | Показывает основную причину или код ошибки для сбоя ресурса. Возможные значения зависят от типа ресурса. Более подробные причины можно найти в поле Описание . |
| WorkspaceId | Строка | GUID рабочей области, с которой возникла проблема работоспособности. Полный идентификатор ресурса Azure доступен в столбце SentinelResourceID. |
| SentinelResourceType | Строка | Отслеживаемый тип ресурса Microsoft Sentinel. Возможные значения: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Строка | Классификация ресурсов в типе ресурса. — Для соединителей данных это тип подключенного источника данных. — Для правил аналитики это тип правила. |
| RecordId | Строка | Уникальный идентификатор записи, который при необходимости можно отправить группе поддержки для улучшенной корреляции. |
| ExtendedProperties | Динамический (JSON) | Контейнер JSON, который зависит от значения OperationName и состояния события. Дополнительные сведения см. в разделе Расширенные свойства . |
| Тип | Строка | SentinelHealth |
Имена операций для разных типов ресурсов
| Типы ресурсов | Имена операций | Состояния |
|---|---|---|
| Сборщики данных | Изменение состояния получения данных __________________ Сводка по сбоям получения данных |
Успешно Failure _____________ Informational |
| Правила автоматизации | Запуск правила автоматизации | Успешное завершение Частичный успех Failure |
| Сборники тренировочных заданий | Сборник схем активирован | Успешно Failure |
| Правила аналитики | Запланированное выполнение правила аналитики Выполнение правила аналитики NRT |
Успешно Failure |
Расширенные свойства
Соединители данных
Для Data fetch status change событий с индикатором успешности контейнер содержит свойство DestinationTable, указывающее, куда должны посадиться данные из этого ресурса. В случае сбоев содержимое зависит от типа сбоя.
Правила автоматизации
| ColumnName | ColumnType | Описание |
|---|---|---|
| ActionsTriggeredSuccessfully | Целое число | Количество действий, успешно активированных правилом автоматизации. |
| IncidentName | Строка | Идентификатор ресурса инцидента Microsoft Sentinel, в котором было активировано правило. |
| IncidentNumber | Строка | Последовательный номер инцидента Microsoft Sentinel, как показано на портале. |
| TotalActions | Целое число | Количество действий, настроенных в этом правиле автоматизации. |
| TriggeredOn | Строка |
Alert или Incident. Объект, для которого было активировано правило. |
| TriggeredPlaybooks | Динамический (JSON) | Список сборников схем, которые это правило автоматизации успешно активировало. Каждая запись сборника схем в списке содержит: - RunId: Идентификатор запуска для этого триггера рабочего процесса Logic Apps - WorkflowId: Уникальный идентификатор (полный идентификатор ресурса ARM) ресурса рабочего процесса Logic Apps. |
| TriggeredWhen | Строка |
Created или Updated. Указывает, было ли правило активировано из-за создания или обновления инцидента или оповещения. |
Сборники тренировочных заданий
| ColumnName | ColumnType | Описание |
|---|---|---|
| IncidentName | Строка | Идентификатор ресурса инцидента Microsoft Sentinel, в котором было активировано правило. |
| IncidentNumber | Строка | Последовательный номер инцидента Microsoft Sentinel, как показано на портале. |
| RunId | Строка | Идентификатор запуска для этого триггера рабочего процесса Logic Apps. |
| TriggeredByName | Динамический (JSON) | Сведения об удостоверении (пользователе или приложении), активировав сборник схем. |
| TriggeredOn | Строка |
Incident. Объект, для которого был активирован сборник схем.(Сборники схем, использующие триггер генерации оповещений, регистрируются только в том случае, если они вызываются правилами автоматизации, поэтому эти запуски сборников схем будут отображаться в расширенном свойстве TriggeredPlaybooks в разделе событий правила автоматизации.) |
Правила аналитики
Расширенные свойства правил аналитики отражают определенные параметры правил.
| ColumnName | ColumnType | Описание |
|---|---|---|
| AggregationKind | Строка | Параметр группировки событий.
AlertPerResult или SingleAlert. |
| AlertsGeneratedAmount | Целое число | Количество оповещений, созданных этим выполнением правила. |
| CorrelationId | Строка | Идентификатор корреляции событий в формате GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Целое число | Число сущностей, удаленных из-за проблем с сопоставлением. |
| EntitiesGeneratedAmount | Целое число | Количество сущностей, созданных этим выполнением правила. |
| Проблемы | Строка | |
| QueryEndTimeUTC | Datetime | Время начала выполнения запроса в формате UTC. |
| QueryFrequency | Datetime | Значение параметра "Выполнить запрос каждый" (ЧЧ:ММ:СС). |
| QueryPerformanceIndicators | Строка | |
| QueryPeriod | Datetime | Значение параметра "Подстановка данных из последнего" (ЧЧ:ММ:СС). |
| QueryResultAmount | Целое число | Количество результатов, полученных запросом. Правило создаст оповещение, если это число превышает пороговое значение, указанное ниже. |
| QueryStartTimeUTC | Datetime | Время выполнения запроса в формате UTC. |
| Идентификатор правила | Строка | Идентификатор правила для этого правила аналитики. |
| Подавление | Time | Длительность подавления правила (ЧЧ:ММ:СС). |
| ПодавлениеEnabled | Строка | Включено ли подавление правил.
True/False. |
| TriggerOperator | Строка | Операторная часть порогового значения результатов, необходимая для создания оповещения. |
| TriggerThreshold | Целое число | Числовая часть порогового значения результатов, необходимая для создания оповещения. |
| TriggerType | Строка | Тип запускаемого правила.
Scheduled или NrtRun. |
Дальнейшие действия
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Мониторинг работоспособности и целостности правил аналитики.
- Справочник по таблицам SentinelAudit