Referenční informace k tabulkám stavu služby Microsoft Sentinel
Tento článek popisuje pole v tabulce SentinelHealth sloužící k monitorování stavu prostředků služby Microsoft Sentinel. Pomocí funkce monitorování stavu služby Microsoft Sentinel si můžete udržovat přehled o správném fungování systému SIEM a získávat informace o jakýchkoli odchylkách stavu ve vašem prostředí.
Naučte se dotazovat tabulku stavu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí:
- Pro datové konektory
- Pravidla automatizace a playbooky
- Analytická pravidla
Důležité
Tabulka dat SentinelHealth je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo které ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .
Funkce monitorování stavu služby Microsoft Sentinel zahrnuje různé druhy prostředků (typy prostředků najdete v poli SentinelResourceType v první tabulce níže). Mnoho datových polí v následujících tabulkách platí pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Popisy níže budou indikovat jeden nebo druhý způsob.
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelHealth:
ColumnName | ColumnType | Popis |
---|---|---|
ID tenanta | Řetězec | ID tenanta pro pracovní prostor služby Microsoft Sentinel. |
TimeGenerated | Datum a čas | Čas (UTC), kdy došlo k události stavu. |
Název operace | Řetězec | Operace stavu. Možné hodnoty závisí na typu prostředku. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
SentinelResourceId | Řetězec | Jedinečný identifikátor prostředku, u kterého došlo k události stavu, a jeho přidruženého pracovního prostoru služby Microsoft Sentinel. |
SentinelResourceName | Řetězec | Název prostředku (konektor, pravidlo nebo playbook). |
Stav | Řetězec | Určuje celkový výsledek operace. Možné hodnoty závisí na názvu operace. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
Popis | Řetězec | Popisuje operaci, včetně rozšířených dat podle potřeby. V případě selhání to může zahrnovat podrobnosti o příčině selhání. |
Důvod | Výčet | Zobrazuje základní důvod nebo kód chyby selhání prostředku. Možné hodnoty závisí na typu prostředku. Podrobnější důvody najdete v poli Popis . |
Id pracovního prostoru | Řetězec | Identifikátor GUID pracovního prostoru, u kterého došlo k problému se stavem. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID . |
SentinelResourceType | Řetězec | Monitorovaný typ prostředku služby Microsoft Sentinel Možné hodnoty: Data connector , Automation rule , , Playbook Analytics rule |
SentinelResourceKind | Řetězec | Klasifikace prostředků v rámci typu prostředku. – U datových konektorů se jedná o typ připojeného zdroje dat. – U analytických pravidel se jedná o typ pravidla. |
RecordId | Řetězec | Jedinečný identifikátor záznamu, který je možné podle potřeby sdílet s týmem podpory pro lepší korelaci. |
Rozšířené vlastnosti | Dynamické (json) | Kontejner JSON, který se liší podle hodnoty OperationName a Status události. Podrobnosti najdete v části Rozšířené vlastnosti . |
Typ | Řetězec | SentinelHealth |
Typy prostředků | Názvy operací | Stavy |
---|---|---|
Kolektory dat | Změna stavu načítání dat __________________ Souhrn selhání načítání dat |
Success Selhání _____________ Informační |
Pravidla automatizace | Spuštění pravidla automatizace | Success Částečný úspěch Selhání |
Playbooky | Playbook se aktivoval | Success Selhání |
Analytická pravidla | Naplánované spuštění analytického pravidla Spuštění pravidla analýzy NRT |
Success Selhání |
U Data fetch status change
událostí s indikátorem úspěchu obsahuje kontejner vlastnost DestinationTable, která označuje, kam se mají data z tohoto prostředku dostat. V případě selhání se obsah liší v závislosti na typu selhání.
ColumnName | ColumnType | Popis |
---|---|---|
ActionsTriggeredSuccessfully | Integer | Počet akcí, které pravidlo automatizace úspěšně aktivovalo. |
Název incidentu | Řetězec | ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo. |
Číslo incidentu | Řetězec | Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu. |
TotalActions | Integer | Počet akcí nakonfigurovaných v tomto pravidlu automatizace |
TriggeredOn | Řetězec |
Alert nebo Incident : Objekt, pro který bylo pravidlo aktivováno. |
AktivovanéPlaybooky | Dynamické (json) | Seznam playbooků, které toto pravidlo automatizace úspěšně aktivovalo. Každý záznam playbooku v seznamu obsahuje: - Id spuštění: ID spuštění pro tuto aktivaci pracovního postupu Logic Apps - Id pracovního postupu: Jedinečný identifikátor (úplné ID prostředku ARM) prostředku pracovního postupu Logic Apps. |
TriggeredWhen | Řetězec |
Created nebo Updated : Označuje, jestli se pravidlo aktivovalo kvůli vytvoření nebo aktualizaci incidentu nebo výstrahy. |
ColumnName | ColumnType | Popis |
---|---|---|
Název incidentu | Řetězec | ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo. |
Číslo incidentu | Řetězec | Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu. |
RunId | Řetězec | ID spuštění pro tuto aktivaci pracovního postupu Logic Apps. |
TriggeredByName | Dynamické (json) | Informace o identitě (uživatele nebo aplikaci), která playbook aktivovala. |
TriggeredOn | Řetězec |
Incident . Objekt, na kterém byl playbook aktivován.(Playbooky používající trigger upozornění se protokolují jenom v případě, že jsou volány pravidly automatizace, takže tato spuštění playbooků se zobrazí v rozšířené vlastnosti TriggeredPlaybooks v událostech pravidel automatizace.) |
Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.
ColumnName | ColumnType | Popis |
---|---|---|
AggregationKind | Řetězec | Nastavení seskupení událostí.
AlertPerResult nebo SingleAlert : |
VýstrahyGeneratedAmount | Integer | Počet výstrah vygenerovaných tímto spuštěním pravidla. |
Correlationid | Řetězec | ID korelace událostí ve formátu GUID. |
EntitiesDroppedDueToMappingIssuesAmount | Integer | Počet entit vynechaných kvůli problémům s mapováním |
EntityGeneratedAmount | Integer | Počet entit vygenerovaných tímto spuštěním pravidla. |
Problémy | Řetězec | |
QueryEndTimeUTC | Datum a čas | Čas utc, kdy se dotaz začal spouštět. |
QueryFrequency | Datum a čas | Hodnota nastavení "Run query every" (HH:MM:SS) |
QueryPerformanceIndicators | Řetězec | |
Dotazování | Datum a čas | Hodnota nastavení "Vyhledat data od posledního" (HH:MM:SS). |
QueryResultAmount | Integer | Počet výsledků zachycených dotazem Pravidlo vygeneruje výstrahu, pokud tento počet překročí prahovou hodnotu definovanou níže. |
QueryStartTimeUTC | Datum a čas | Čas dokončení dotazu (UTC) |
RuleId | Řetězec | ID pravidla pro toto analytické pravidlo. |
Doba trvání potlačení | Čas | Doba trvání potlačení pravidla (HH:MM:SS). |
PotlačeníEnabled | Řetězec | Je povoleno potlačení pravidla.
True/False . |
TriggerOperator | Řetězec | Část operátora prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy. |
TriggerThreshold | Integer | Číselná část prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy. |
Typ triggeru | Řetězec | Typ pravidla, které se aktivuje.
Scheduled nebo NrtRun : |
- Seznamte se s auditováním a monitorováním stavu ve službě Microsoft Sentinel.
- Zapněte auditování a monitorování stavu ve službě Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelAudit