مشاركة عبر

مرجع جداول حماية Microsoft Sentinel

توضح هذه المقالة الحقول في جدول SentinelHealth المستخدم لمراقبة صحة موارد Microsoft Sentinel. باستخدام ميزة مراقبة صحة Microsoft Sentinel، يمكنك الاحتفاظ بعلامات تبويب حول الأداء السليم ل SIEM والحصول على معلومات حول أي انحرافات صحية في بيئتك.

تعرف على كيفية الاستعلام عن الجدول الصحي واستخدامه للمراقبة العميقة والرؤية للإجراءات في بيئتك:

تغطي ميزة المراقبة الصحية ل Microsoft Sentinel أنواعا مختلفة من الموارد (راجع أنواع الموارد في حقل SentinelResourceType في الجدول الأول أدناه). تنطبق العديد من حقول البيانات في الجداول التالية عبر أنواع الموارد، ولكن بعضها يحتوي على تطبيقات محددة لكل نوع. ستشير الأوصاف أدناه بطريقة أو بأخرى.

مخطط أعمدة جدول SentinelHealth

يصف الجدول التالي الأعمدة والبيانات التي تم إنشاؤها في جدول بيانات SentinelHealth:

ColumnName نوع العمود وصف
معرف المستأجر سلسلة‬‬ معرف المستأجر لمساحة عمل Microsoft Sentinel.
تم إنشاء الوقت التاريخ/الوقت الوقت (UTC) الذي حدث فيه الحدث الصحي.
اسم العملية سلسلة‬‬ عملية السلامة. تعتمد القيم المحتملة على نوع المورد.
راجع أسماء العمليات للحصول على أنواع موارد مختلفة للحصول على التفاصيل.
SentinelResourceId سلسلة‬‬ المعرف الفريد للمورد الذي حدث عليه الحدث الصحي ومساحة عمل Microsoft Sentinel المقترنة به.
SentinelResourceName سلسلة‬‬ اسم المورد (الموصل أو القاعدة أو دليل المبادئ).
حالة سلسلة‬‬ يشير إلى النتيجة الإجمالية للعملية. تعتمد القيم المحتملة على اسم العملية.
راجع أسماء العمليات للحصول على أنواع موارد مختلفة للحصول على التفاصيل.
الوصف سلسلة‬‬ يصف العملية، بما في ذلك البيانات الموسعة حسب الحاجة. بالنسبة إلى حالات الفشل، يمكن أن يتضمن ذلك تفاصيل سبب الفشل.
سبب تعداد إظهار سبب أساسي أو رمز خطأ لفشل المورد. تعتمد القيم المحتملة على نوع المورد. يمكن العثور على أسباب أكثر تفصيلا في حقل الوصف .
معرف مساحة العمل سلسلة‬‬ المعرف الفريد العمومي لمساحة العمل الذي حدثت عليه مشكلة الصحة. يتوفر معرف مورد Azure الكامل في العمود SentinelResourceID .
SentinelResourceType سلسلة‬‬ يتم مراقبة نوع مورد Microsoft Sentinel.
القيم المحتملة: Data connector، Automation rule، ، PlaybookAnalytics rule
SentinelResourceKind سلسلة‬‬ تصنيف مورد ضمن نوع المورد.
- بالنسبة لموصلات البيانات، هذا هو نوع مصدر البيانات المتصل.
- بالنسبة لقواعد التحليلات، هذا هو نوع القاعدة.
معرف السجل سلسلة‬‬ معرف فريد للسجل يمكن مشاركته مع فريق الدعم للحصول على ارتباط أفضل حسب الحاجة.
الخصائص الموسعة ديناميكي (json) حقيبة JSON التي تختلف حسب قيمة OperationNameوحالة الحدث .
راجع الخصائص الموسعة للحصول على التفاصيل.
النوع سلسلة‬‬ SentinelHealth

أسماء العمليات للأنوع المختلفة من الموارد

أنواع الموارد أسماء العمليات حالات
مجمعو البيانات تغيير حالة إحضار البيانات

__________________
ملخص فشل إحضار البيانات		 نجاح
فشل
_____________
اعلاميه
قواعد الأتمتة تشغيل قاعدة التنفيذ التلقائي نجاح
نجاح جزئي
فشل
أدلة المبادئ تم تشغيل Playbook نجاح
فشل
قواعد التحليلات تشغيل قاعدة التحليلات المجدولة
تشغيل قاعدة تحليلات NRT		 نجاح
فشل

الخصائص الموسعة

موصلات البيانات

بالنسبة للأحداث Data fetch status change ذات مؤشر النجاح، تحتوي الحقيبة على خاصية "DestinationTable" للإشارة إلى مكان وصول البيانات من هذا المورد. بالنسبة إلى حالات الفشل، تختلف المحتويات حسب نوع الفشل.

قواعد الأتمتة

ColumnName نوع العمود وصف
ActionsTriggeredSuccessfully Integer عدد الإجراءات التي تم تشغيلها بنجاح في قاعدة التنفيذ التلقائي.
اسم الحدث سلسلة‬‬ معرف المورد لحادث Microsoft Sentinel الذي تم تشغيل القاعدة عليه.
رقم الحادث سلسلة‬‬ العدد التسلسلي لحادث Microsoft Sentinel كما هو موضح في المدخل.
إجمالي الإجراءات Integer عدد الإجراءات التي تم تكوينها في قاعدة التنفيذ التلقائي هذه.
مشغل على سلسلة‬‬ Alert أو Incident. الكائن الذي تم تشغيل القاعدة عليه.
سجلات التشغيل ديناميكي (json) قائمة أدلة المبادئ التي تم تشغيل قاعدة التنفيذ التلقائي هذه بنجاح.

يحتوي كل سجل دليل مبادئ في القائمة على:
- معرف التشغيل: معرف التشغيل لهذا التشغيل لسير عمل Logic Apps
- معرف سير العمل: المعرف الفريد (معرف مورد ARM الكامل) لمورد سير عمل Logic Apps.
المشغل عند سلسلة‬‬ Created أو Updated. يشير إلى ما إذا كان قد تم تشغيل القاعدة بسبب إنشاء حدث أو تنبيه أو تحديثه.

Playbooks

ColumnName نوع العمود وصف
اسم الحدث سلسلة‬‬ معرف المورد لحادث Microsoft Sentinel الذي تم تشغيل القاعدة عليه.
رقم الحادث سلسلة‬‬ العدد التسلسلي لحادث Microsoft Sentinel كما هو موضح في المدخل.
معرف التشغيل سلسلة‬‬ معرف التشغيل لهذا المشغل لسير عمل Logic Apps.
TriggeredByName ديناميكي (json) معلومات حول الهوية (المستخدم أو التطبيق) التي أدت إلى تشغيل دليل المبادئ.
مشغل على سلسلة‬‬ Person. الكائن الذي تم تشغيل دليل المبادئ عليه.
(يتم تسجيل Playbooks التي تستخدم مشغل التنبيه فقط إذا تم استدعاؤها بواسطة قواعد التشغيل التلقائي، لذلك ستظهر عمليات تشغيل playbook هذه في الخاصية TriggeredPlaybooks الموسعة ضمن أحداث قاعدة التنفيذ التلقائي.)

قواعد التحليلات

تعكس الخصائص الموسعة لقواعد التحليلات إعدادات قواعد معينة.

ColumnName نوع العمود وصف
AggregationKind سلسلة‬‬ إعداد تجميع الأحداث. AlertPerResult أو SingleAlert.
تنبيهاتGeneratedAmount Integer عدد التنبيهات التي تم إنشاؤها بواسطة تشغيل القاعدة هذا.
معرف الارتباط سلسلة‬‬ معرف ارتباط الحدث بتنسيق GUID.
EntitiesDroppedDueToMappingIssuesAmount Integer عدد الكيانات التي تم إسقاطها بسبب مشكلات التعيين.
عدد الكيانات Integer عدد الكيانات التي تم إنشاؤها بواسطة تشغيل القاعدة هذا.
القضايا سلسلة‬‬
QueryEndTimeUTC التاريخ/الوقت وقت بدء تشغيل الاستعلام بالتوقيت العالمي المتفق عليه.
ميزة QueryFrequency التاريخ/الوقت قيمة إعداد "تشغيل الاستعلام كل" (HH:MM:SS).
مؤشرات أداء الاستعلام سلسلة‬‬
QueryPeriod التاريخ/الوقت قيمة إعداد "بيانات البحث من الأخير" (HH:MM:SS).
QueryResultAmount Integer عدد النتائج التي تم التقاطها بواسطة الاستعلام.
ستنشئ القاعدة تنبيها إذا تجاوز هذا الرقم الحد كما هو محدد أدناه.
QueryStartTimeUTC التاريخ/الوقت وقت UTC الذي أكمل الاستعلام تشغيله.
معرف القاعدة سلسلة‬‬ معرف القاعدة لقاعدة التحليلات هذه.
منعDuration الوقت مدة منع القاعدة (HH:MM:SS).
SuppressionEnabled سلسلة‬‬ هل تم تمكين منع القاعدة. Person.
مشغل التشغيل سلسلة‬‬ جزء عامل التشغيل من عتبة النتائج المطلوبة لإنشاء تنبيه.
مشغلالعناد Integer جزء الرقم من عتبة النتائج المطلوبة لإنشاء تنبيه.
نوع الزناد سلسلة‬‬ نوع القاعدة التي يتم تشغيلها. Scheduled أو NrtRun.

الخطوات التالية

  • Last updated on