Sdílet prostřednictvím


Referenční informace k tabulkám stavu služby Microsoft Sentinel

Tento článek popisuje pole v tabulce SentinelHealth sloužící k monitorování stavu prostředků služby Microsoft Sentinel. Pomocí funkce monitorování stavu služby Microsoft Sentinel si můžete udržovat přehled o správném fungování systému SIEM a získávat informace o jakýchkoli odchylkách stavu ve vašem prostředí.

Naučte se dotazovat tabulku stavu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí:

Důležité

Tabulka dat SentinelHealth je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo které ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .

Funkce monitorování stavu služby Microsoft Sentinel zahrnuje různé druhy prostředků (typy prostředků najdete v poli SentinelResourceType v první tabulce níže). Mnoho datových polí v následujících tabulkách platí pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Popisy níže budou indikovat jeden nebo druhý způsob.

Schéma sloupců tabulky SentinelHealth

Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelHealth:

ColumnName ColumnType Popis
ID tenanta Řetězec ID tenanta pro pracovní prostor služby Microsoft Sentinel.
TimeGenerated Datum a čas Čas (UTC), kdy došlo k události stavu.
Název operace Řetězec Operace stavu. Možné hodnoty závisí na typu prostředku.
Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků .
SentinelResourceId Řetězec Jedinečný identifikátor prostředku, u kterého došlo k události stavu, a jeho přidruženého pracovního prostoru služby Microsoft Sentinel.
SentinelResourceName Řetězec Název prostředku (konektor, pravidlo nebo playbook).
Stav Řetězec Určuje celkový výsledek operace. Možné hodnoty závisí na názvu operace.
Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků .
Popis Řetězec Popisuje operaci, včetně rozšířených dat podle potřeby. V případě selhání to může zahrnovat podrobnosti o příčině selhání.
Důvod Výčet Zobrazuje základní důvod nebo kód chyby selhání prostředku. Možné hodnoty závisí na typu prostředku. Podrobnější důvody najdete v poli Popis .
Id pracovního prostoru Řetězec Identifikátor GUID pracovního prostoru, u kterého došlo k problému se stavem. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID .
SentinelResourceType Řetězec Monitorovaný typ prostředku služby Microsoft Sentinel
Možné hodnoty: Data connector, Automation rule, , PlaybookAnalytics rule
SentinelResourceKind Řetězec Klasifikace prostředků v rámci typu prostředku.
– U datových konektorů se jedná o typ připojeného zdroje dat.
– U analytických pravidel se jedná o typ pravidla.
RecordId Řetězec Jedinečný identifikátor záznamu, který je možné podle potřeby sdílet s týmem podpory pro lepší korelaci.
Rozšířené vlastnosti Dynamické (json) Kontejner JSON, který se liší podle hodnoty OperationName a Status události.
Podrobnosti najdete v části Rozšířené vlastnosti .
Typ Řetězec SentinelHealth

Názvy operací pro různé typy prostředků

Typy prostředků Názvy operací Stavy
Kolektory dat Změna stavu načítání dat

__________________
Souhrn selhání načítání dat
Success
Selhání
_____________
Informační
Pravidla automatizace Spuštění pravidla automatizace Success
Částečný úspěch
Selhání
Playbooky Playbook se aktivoval Success
Selhání
Analytická pravidla Naplánované spuštění analytického pravidla
Spuštění pravidla analýzy NRT
Success
Selhání

Rozšířené vlastnosti

Datové konektory

U Data fetch status change událostí s indikátorem úspěchu obsahuje kontejner vlastnost DestinationTable, která označuje, kam se mají data z tohoto prostředku dostat. V případě selhání se obsah liší v závislosti na typu selhání.

Pravidla automatizace

ColumnName ColumnType Popis
ActionsTriggeredSuccessfully Integer Počet akcí, které pravidlo automatizace úspěšně aktivovalo.
Název incidentu Řetězec ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo.
Číslo incidentu Řetězec Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu.
TotalActions Integer Počet akcí nakonfigurovaných v tomto pravidlu automatizace
TriggeredOn Řetězec Alert nebo Incident: Objekt, pro který bylo pravidlo aktivováno.
AktivovanéPlaybooky Dynamické (json) Seznam playbooků, které toto pravidlo automatizace úspěšně aktivovalo.

Každý záznam playbooku v seznamu obsahuje:
- Id spuštění: ID spuštění pro tuto aktivaci pracovního postupu Logic Apps
- Id pracovního postupu: Jedinečný identifikátor (úplné ID prostředku ARM) prostředku pracovního postupu Logic Apps.
TriggeredWhen Řetězec Created nebo Updated: Označuje, jestli se pravidlo aktivovalo kvůli vytvoření nebo aktualizaci incidentu nebo výstrahy.

Playbooky

ColumnName ColumnType Popis
Název incidentu Řetězec ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo.
Číslo incidentu Řetězec Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu.
RunId Řetězec ID spuštění pro tuto aktivaci pracovního postupu Logic Apps.
TriggeredByName Dynamické (json) Informace o identitě (uživatele nebo aplikaci), která playbook aktivovala.
TriggeredOn Řetězec Incident. Objekt, na kterém byl playbook aktivován.
(Playbooky používající trigger upozornění se protokolují jenom v případě, že jsou volány pravidly automatizace, takže tato spuštění playbooků se zobrazí v rozšířené vlastnosti TriggeredPlaybooks v událostech pravidel automatizace.)

Analytická pravidla

Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.

ColumnName ColumnType Popis
AggregationKind Řetězec Nastavení seskupení událostí. AlertPerResult nebo SingleAlert:
VýstrahyGeneratedAmount Integer Počet výstrah vygenerovaných tímto spuštěním pravidla.
Correlationid Řetězec ID korelace událostí ve formátu GUID.
EntitiesDroppedDueToMappingIssuesAmount Integer Počet entit vynechaných kvůli problémům s mapováním
EntityGeneratedAmount Integer Počet entit vygenerovaných tímto spuštěním pravidla.
Problémy Řetězec
QueryEndTimeUTC Datum a čas Čas utc, kdy se dotaz začal spouštět.
QueryFrequency Datum a čas Hodnota nastavení "Run query every" (HH:MM:SS)
QueryPerformanceIndicators Řetězec
Dotazování Datum a čas Hodnota nastavení "Vyhledat data od posledního" (HH:MM:SS).
QueryResultAmount Integer Počet výsledků zachycených dotazem
Pravidlo vygeneruje výstrahu, pokud tento počet překročí prahovou hodnotu definovanou níže.
QueryStartTimeUTC Datum a čas Čas dokončení dotazu (UTC)
RuleId Řetězec ID pravidla pro toto analytické pravidlo.
Doba trvání potlačení Čas Doba trvání potlačení pravidla (HH:MM:SS).
PotlačeníEnabled Řetězec Je povoleno potlačení pravidla. True/False.
TriggerOperator Řetězec Část operátora prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy.
TriggerThreshold Integer Číselná část prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy.
Typ triggeru Řetězec Typ pravidla, které se aktivuje. Scheduled nebo NrtRun:

Další kroky