Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje pole v tabulce SentinelHealth sloužící k monitorování stavu Microsoft Sentinel prostředků. Pomocí funkce monitorování stavu Microsoft Sentinel můžete mít přehled o správném fungování systému SIEM a získávat informace o všech odchylkách stavu ve vašem prostředí.
Naučte se dotazovat tabulku stavu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí:
- Pro datové konektory
- Pravidla automatizace a playbooky
- Analytická pravidla
Funkce monitorování stavu Microsoft Sentinel pokrývá různé druhy prostředků (typy prostředků najdete v poli SentinelResourceType v první tabulce níže). Mnoho datových polí v následujících tabulkách platí pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Následující popisy označují jeden nebo druhý způsob.
Schéma sloupců tabulky SentinelHealth
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelHealth:
| Columnname | Columntype | Popis |
|---|---|---|
| Id tenanta | String | ID tenanta pro váš pracovní prostor Microsoft Sentinel. |
| TimeGenerated | Datetime | Čas (UTC), ve kterém došlo k události stavu. |
| Název operace | String | Operace stavu Možné hodnoty závisí na typu prostředku. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
| SentinelResourceId | String | Jedinečný identifikátor prostředku, u kterého došlo k události stavu, a jeho přidružené Microsoft Sentinel pracovním prostoru. |
| SentinelResourceName | String | Název prostředku (konektor, pravidlo nebo playbook). |
| Stav | String | Označuje celkový výsledek operace. Možné hodnoty závisí na názvu operace. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
| Popis | String | Popisuje operaci, včetně rozšířených dat podle potřeby. V případě selhání to může zahrnovat podrobnosti o důvodu selhání. |
| Důvod | Výčtu | Zobrazuje základní důvod nebo kód chyby selhání prostředku. Možné hodnoty závisí na typu prostředku. Podrobnější důvody najdete v poli Popis . |
| Id pracovního prostoru | String | Identifikátor GUID pracovního prostoru, u kterého došlo k problému se stavem. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID. |
| SentinelResourceType | String | Typ Microsoft Sentinel prostředku, který se monitoruje. Možné hodnoty: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | String | Klasifikace prostředků v rámci typu prostředku. – U datových konektorů se jedná o typ připojeného zdroje dat. – U analytických pravidel se jedná o typ pravidla. |
| Id záznamu | String | Jedinečný identifikátor záznamu, který je možné podle potřeby sdílet s týmem podpory pro lepší korelaci. |
| Rozšířené vlastnosti | Dynamické (json) | Kontejner JSON, který se liší podle hodnoty OperationName a Status události. Podrobnosti najdete v části Rozšířené vlastnosti . |
| Typ | String | SentinelHealth |
Názvy operací pro různé typy prostředků
| Typy prostředků | Názvy operací | Stavy |
|---|---|---|
| Kolektory dat | Změna stavu načítání dat __________________ Souhrn selhání načítání dat |
Úspěch Selhání _____________ Informační |
| Pravidla automatizace | Spuštění pravidla automatizace | Úspěch Částečný úspěch Selhání |
| Playbooky | Playbook se aktivoval | Úspěch Selhání |
| Analytická pravidla | Naplánované spuštění analytických pravidel Spuštění pravidla analýzy NRT |
Úspěch Selhání |
Rozšířené vlastnosti
Datové konektory
U Data fetch status change událostí s indikátorem úspěchu obsahuje kontejner vlastnost DestinationTable, která označuje, kam se mají data z tohoto prostředku dostat. V případě selhání se obsah liší v závislosti na typu selhání.
Pravidla automatizace
| Columnname | Columntype | Popis |
|---|---|---|
| ActionsTriggeredSuccessfully | Celé číslo | Počet akcí, které pravidlo automatizace úspěšně aktivovalo |
| Název incidentu | String | ID prostředku incidentu Microsoft Sentinel, u kterého se pravidlo aktivovalo. |
| Číslo incidentu | String | Pořadové číslo incidentu Microsoft Sentinel, jak je znázorněno na portálu. |
| TotalActions | Celé číslo | Počet akcí nakonfigurovaných v tomto pravidlu automatizace |
| TriggeredOn | String |
Alert nebo Incident. Objekt, pro který se pravidlo aktivovalo. |
| TriggeredPlaybooky | Dynamické (json) | Seznam playbooků, které toto pravidlo automatizace úspěšně aktivovalo. Každý záznam playbooku v seznamu obsahuje: - RunId: ID spuštění pro tuto aktivaci pracovního postupu Logic Apps - WorkflowId: Jedinečný identifikátor (úplné ID prostředku ARM) prostředku pracovního postupu Logic Apps. |
| TriggeredWhen | String |
Created nebo Updated. Označuje, jestli se pravidlo aktivovalo kvůli vytvoření nebo aktualizaci incidentu nebo výstrahy. |
Playbooky
| Columnname | Columntype | Popis |
|---|---|---|
| Název incidentu | String | ID prostředku incidentu Microsoft Sentinel, u kterého se pravidlo aktivovalo. |
| Číslo incidentu | String | Pořadové číslo incidentu Microsoft Sentinel, jak je znázorněno na portálu. |
| Id spuštění | String | ID spuštění pro tuto aktivaci pracovního postupu Logic Apps. |
| TriggeredByName | Dynamické (json) | Informace o identitě (uživatele nebo aplikace), která playbook aktivovala. |
| TriggeredOn | String |
Incident. Objekt, na kterém byl playbook aktivován.(Playbooky používající trigger upozornění se zaprotokolují jenom v případě, že je volají pravidla automatizace, takže se tato spuštění playbooků zobrazí v rozšířené vlastnosti TriggeredPlaybooks v rámci událostí pravidel automatizace.) |
Analytická pravidla
Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.
| Columnname | Columntype | Popis |
|---|---|---|
| AggregationKind | String | Nastavení seskupení událostí.
AlertPerResult nebo SingleAlert. |
| VýstrahyGeneratedAmount | Celé číslo | Počet výstrah vygenerovaných tímto spuštěním pravidla. |
| Correlationid | String | ID korelace událostí ve formátu GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Celé číslo | Počet entit vynechaných kvůli problémům s mapováním |
| EntityGeneratedAmount | Celé číslo | Počet entit vygenerovaných tímto spuštěním pravidla. |
| Problémy | String | |
| QueryEndTimeUTC | Datetime | Čas utc, kdy se dotaz začal spouštět. |
| QueryFrequency | Datetime | Hodnota nastavení "Spustit dotaz po" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| Dotazování | Datetime | Hodnota nastavení "Vyhledat data od posledního" (HH:MM:SS). |
| QueryResultAmount | Celé číslo | Počet výsledků zachycených dotazem Pravidlo vygeneruje výstrahu, pokud tento počet překročí prahovou hodnotu definovanou níže. |
| QueryStartTimeUTC | Datetime | Čas dokončení dotazu (UTC) |
| Id pravidla | String | ID pravidla pro toto analytické pravidlo. |
| Doba trvání potlačení | Time | Doba trvání potlačení pravidla (HH:MM:SS). |
| PotlačeníEnabled | String | Je povoleno potlačení pravidla.
True/False. |
| TriggerOperator | String | Část operátoru prahové hodnoty výsledků vyžadované k vygenerování výstrahy |
| TriggerThreshold | Celé číslo | Číselná část prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy |
| TriggerType | String | Typ pravidla, které se aktivuje.
Scheduled nebo NrtRun. |
Další kroky
- Přečtěte si o auditování a monitorování stavu v Microsoft Sentinel.
- Zapněte auditování a monitorování stavu v Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelAudit