مرجع جداول حماية Microsoft Sentinel
توضح هذه المقالة الحقول في جدول SentinelHealth المستخدم لمراقبة صحة موارد Microsoft Sentinel. باستخدام ميزة مراقبة صحة Microsoft Sentinel، يمكنك الاحتفاظ بعلامات التبويب على الأداء السليم ل SIEM والحصول على معلومات حول أي انحرافات صحية في بيئتك.
تعرف على كيفية الاستعلام عن الجدول الصحي واستخدامه للمراقبة العميقة والرؤية للإجراءات في بيئتك:
هام
جدول بيانات SentinelHealth قيد PREVIEWحاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
تغطي ميزة المراقبة الصحية ل Microsoft Sentinel أنواعا مختلفة من الموارد (راجع أنواع الموارد في حقل SentinelResourceType في الجدول الأول أدناه). تنطبق العديد من حقول البيانات في الجداول التالية عبر أنواع الموارد، ولكن بعضها يحتوي على تطبيقات محددة لكل نوع. ستشير الأوصاف أدناه إلى طريقة أو أخرى.
مخطط أعمدة جدول SentinelHealth
يصف الجدول التالي الأعمدة والبيانات التي تم إنشاؤها في جدول بيانات SentinelHealth:
| ColumnName | ColumnType | الوصف |
|---|---|---|
| TenantId | سلسلة | معرّف المستأجر لمساحة عمل Microsoft Azure Sentinel. |
| وقت الإنشاء | التاريخ والوقت | الوقت (UTC) الذي حدث فيه الحدث الصحي. |
| OperationName | سلسلة | عملية السلامة. تعتمد القيم المحتملة على نوع المورد. راجع أسماء العمليات للحصول على أنواع موارد مختلفة للحصول على التفاصيل. |
| SentinelResourceId | سلسلة | المعرف الفريد للمورد الذي حدث عليه الحدث الصحي، ومساحة عمل Microsoft Sentinel المقترنة به. |
| SentinelResourceName | سلسلة | اسم المورد (الموصل أو القاعدة أو دليل المبادئ). |
| Status | سلسلة | يشير إلى النتيجة الإجمالية للعملية. تعتمد القيم المحتملة على اسم العملية. راجع أسماء العمليات للحصول على أنواع موارد مختلفة للحصول على التفاصيل. |
| الوصف | سلسلة | يصف العملية، بما في ذلك البيانات الموسعة حسب الحاجة. بالنسبة إلى حالات الفشل، يمكن أن يتضمن ذلك تفاصيل سبب الفشل. |
| السبب | التعداد | إظهار سبب أساسي أو رمز خطأ لفشل المورد. تعتمد القيم المحتملة على نوع المورد. يمكن العثور على أسباب أكثر تفصيلا في حقل الوصف . |
| WorkspaceId | سلسلة | المعرّف الفريد لمساحة العمل حيث حدثت مشكلة السلامة. يتوفر معرّف مورد Azure الكامل في العمود SentinelResourceID. |
| SentinelResourceType | سلسلة | نوع مورد Microsoft Sentinel الذي تتم مراقبته. القيم الممكنة: Data connector، Automation rule، Playbook، Analytics rule |
| SentinelResourceKind | سلسلة | تصنيف موارد ضمن نوع المورد. - بالنسبة لموصلات البيانات، هذا هو نوع مصدر البيانات المتصل. - بالنسبة لقواعد التحليلات، هذا هو نوع القاعدة. |
| معرف السجل | سلسلة | معرّف فريد للسجل يمكن مشاركته مع فريق الدعم للحصول على ارتباط أفضل حسب الحاجة. |
| ExtendedProperties | ديناميكي (json) | حقيبة JSON التي تختلف حسب قيمة OperationNameوحالة الحدث. راجع الخصائص الموسعة للحصول على التفاصيل. |
| النوع | سلسلة | SentinelHealth |
أسماء العمليات الخاصة وأنواع الموارد المختلفة
| أنواع الموارد | أسماء العمليات | حالات |
|---|---|---|
| جامعو البيانات | تغيير حالة إحضار البيانات __________________ ملخص فشل إحضار البيانات |
نجاح فشل _____________ معلوماتي |
| قواعد الأتمتة | تشغيل قاعدة التنفيذ التلقائي | نجاح نجاح جزئي فشل |
| أدلة المبادئ | تم تشغيل دليل المبادئ | نجاح فشل |
| قواعد التحليلات | تشغيل قاعدة التحليلات المجدولة تشغيل قاعدة تحليلات NRT |
نجاح فشل |
الخصائص الموسعة
موصلات البيانات
بالنسبة للأحداث Data fetch status change ذات مؤشر النجاح، تحتوي الحقيبة على خاصية "DestinationTable" للإشارة إلى مكان وصول البيانات من هذا المورد. بالنسبة إلى حالات الفشل، تختلف المحتويات حسب نوع الفشل.
قواعد الأتمتة
| ColumnName | ColumnType | الوصف |
|---|---|---|
| ActionsTriggeredSuccessfully | عدد صحيح | عدد الإجراءات التي تم تشغيلها بنجاح لقاعدة التنفيذ التلقائي. |
| IncidentName | سلسلة | معرف المورد لحادث Microsoft Sentinel الذي تم تشغيل القاعدة عليه. |
| IncidentNumber | سلسلة | العدد التسلسلي لحادث Microsoft Sentinel كما هو موضح في المدخل. |
| TotalActions | عدد صحيح | عدد الإجراءات التي تم تكوينها في قاعدة الأتمتة هذه. |
| TriggeredOn | سلسلة |
Alert أو Incident. الكائن الذي تم تشغيل القاعدة عليه. |
| سجلات التشغيل | ديناميكي (json) | قائمة بدلائل المبادئ التي تم تشغيل قاعدة التشغيل التلقائي هذه بنجاح. يحتوي كل سجل دليل مبادئ في القائمة على: - RunId: معرف التشغيل لهذا المشغل لسير عمل Logic Apps - معرف سير العمل: المعرف الفريد (معرف مورد ARM الكامل) لمورد سير عمل Logic Apps. |
| المشغلة عند | سلسلة |
Created أو Updated. يشير إلى ما إذا كان قد تم تشغيل القاعدة بسبب إنشاء حدث أو تنبيه أو تحديثه. |
أدلة المبادئ
| ColumnName | ColumnType | الوصف |
|---|---|---|
| IncidentName | سلسلة | معرف المورد لحادث Microsoft Sentinel الذي تم تشغيل القاعدة عليه. |
| IncidentNumber | سلسلة | العدد التسلسلي لحادث Microsoft Sentinel كما هو موضح في المدخل. |
| معرف التشغيل | سلسلة | معرف التشغيل لهذا التشغيل لسير عمل Logic Apps. |
| TriggeredByName | ديناميكي (json) | معلومات حول الهوية (المستخدم أو التطبيق) التي أدت إلى تشغيل دليل المبادئ. |
| TriggeredOn | سلسلة |
Incident. الكائن الذي تم تشغيل دليل المبادئ عليه.(يتم تسجيل أدلة المبادئ التي تستخدم مشغل التنبيه فقط إذا تم استدعاؤها بواسطة قواعد التشغيل التلقائي، لذلك ستظهر عمليات تشغيل دليل المبادئ هذه في الخاصية TriggeredPlaybooks الموسعة ضمن أحداث قاعدة التشغيل التلقائي.) |
قواعد التحليلات
تعكس الخصائص الموسعة لقواعد التحليلات إعدادات قواعد معينة.
| ColumnName | ColumnType | الوصف |
|---|---|---|
| AggregationKind | سلسلة | إعداد تجميع الأحداث.
AlertPerResult أو SingleAlert. |
| AlertsGeneratedAmount | عدد صحيح | عدد التنبيهات التي تم إنشاؤها بواسطة تشغيل القاعدة هذا. |
| CorrelationId | سلسلة | معرف ارتباط الحدث بتنسيق GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | عدد صحيح | عدد الكيانات التي تم إسقاطها بسبب مشكلات التعيين. |
| الكياناتGeneratedAmount | عدد صحيح | عدد الكيانات التي تم إنشاؤها بواسطة تشغيل القاعدة هذا. |
| الإصدارات | سلسلة | |
| QueryEndTimeUTC | التاريخ والوقت | وقت بدء تشغيل الاستعلام بالتوقيت العالمي المتفق عليه. |
| QueryFrequency | التاريخ والوقت | قيمة إعداد "تشغيل الاستعلام كل" (HH:MM:SS). |
| QueryPerformanceIndicators | سلسلة | |
| QueryPeriod | التاريخ والوقت | قيمة إعداد "بيانات البحث من الأخير" (HH:MM:SS). |
| QueryResultAmount | عدد صحيح | عدد النتائج التي تم التقاطها بواسطة الاستعلام. ستنشئ القاعدة تنبيها إذا تجاوز هذا الرقم الحد كما هو محدد أدناه. |
| QueryStartTimeUTC | التاريخ والوقت | وقت UTC الذي أكمل فيه الاستعلام تشغيله. |
| RuleId | سلسلة | معرف القاعدة لقاعدة التحليلات هذه. |
| منعDuration | الوقت | مدة منع القاعدة (HH:MM:SS). |
| SuppressionEnabled | سلسلة | هل تم تمكين منع القاعدة.
True/False. |
| TriggerOperator | سلسلة | جزء عامل التشغيل من عتبة النتائج المطلوبة لإنشاء تنبيه. |
| TriggerThreshold | عدد صحيح | جزء الرقم من حد النتائج المطلوب لإنشاء تنبيه. |
| نوع المشغل | سلسلة | نوع القاعدة التي يتم تشغيلها.
Scheduled أو NrtRun. |