Referenční informace k tabulkám stavu služby Microsoft Sentinel
Tento článek popisuje pole v tabulce SentinelHealth sloužící k monitorování stavu prostředků služby Microsoft Sentinel. Pomocí funkce monitorování stavu služby Microsoft Sentinel si můžete udržovat přehled o správném fungování systému SIEM a získávat informace o jakýchkoli odchylkách stavu ve vašem prostředí.
Naučte se dotazovat tabulku stavu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí:
- Pro datové konektory
- Pravidla automatizace a playbooky
- Analytická pravidla
Důležité
Tabulka dat SentinelHealth je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo které ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .
Funkce monitorování stavu služby Microsoft Sentinel zahrnuje různé druhy prostředků (typy prostředků najdete v poli SentinelResourceType v první tabulce níže). Mnoho datových polí v následujících tabulkách platí pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Popisy níže budou indikovat jeden nebo druhý způsob.
Schéma sloupců tabulky SentinelHealth
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelHealth:
| ColumnName | ColumnType | Popis |
|---|---|---|
| ID tenanta | Řetězec | ID tenanta pro pracovní prostor služby Microsoft Sentinel. |
| TimeGenerated | Datum a čas | Čas (UTC), kdy došlo k události stavu. |
| Název operace | Řetězec | Operace stavu. Možné hodnoty závisí na typu prostředku. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
| SentinelResourceId | Řetězec | Jedinečný identifikátor prostředku, u kterého došlo k události stavu, a jeho přidruženého pracovního prostoru služby Microsoft Sentinel. |
| SentinelResourceName | Řetězec | Název prostředku (konektor, pravidlo nebo playbook). |
| Stav | Řetězec | Určuje celkový výsledek operace. Možné hodnoty závisí na názvu operace. Podrobnosti najdete v tématu Názvy operací pro různé typy prostředků . |
| Popis | Řetězec | Popisuje operaci, včetně rozšířených dat podle potřeby. V případě selhání to může zahrnovat podrobnosti o příčině selhání. |
| Důvod | Výčet | Zobrazuje základní důvod nebo kód chyby selhání prostředku. Možné hodnoty závisí na typu prostředku. Podrobnější důvody najdete v poli Popis . |
| Id pracovního prostoru | Řetězec | Identifikátor GUID pracovního prostoru, u kterého došlo k problému se stavem. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID . |
| SentinelResourceType | Řetězec | Monitorovaný typ prostředku služby Microsoft Sentinel Možné hodnoty: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | Řetězec | Klasifikace prostředků v rámci typu prostředku. – U datových konektorů se jedná o typ připojeného zdroje dat. – U analytických pravidel se jedná o typ pravidla. |
| RecordId | Řetězec | Jedinečný identifikátor záznamu, který je možné podle potřeby sdílet s týmem podpory pro lepší korelaci. |
| Rozšířené vlastnosti | Dynamické (json) | Kontejner JSON, který se liší podle hodnoty OperationName a Status události. Podrobnosti najdete v části Rozšířené vlastnosti . |
| Typ | Řetězec | SentinelHealth |
Názvy operací pro různé typy prostředků
| Typy prostředků | Názvy operací | Stavy |
|---|---|---|
| Kolektory dat | Změna stavu načítání dat __________________ Souhrn selhání načítání dat |
Success Selhání _____________ Informační |
| Pravidla automatizace | Spuštění pravidla automatizace | Success Částečný úspěch Selhání |
| Playbooky | Playbook se aktivoval | Success Selhání |
| Analytická pravidla | Naplánované spuštění analytického pravidla Spuštění pravidla analýzy NRT |
Success Selhání |
Rozšířené vlastnosti
Datové konektory
U Data fetch status change událostí s indikátorem úspěchu obsahuje kontejner vlastnost DestinationTable, která označuje, kam se mají data z tohoto prostředku dostat. V případě selhání se obsah liší v závislosti na typu selhání.
Pravidla automatizace
| ColumnName | ColumnType | Popis |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Počet akcí, které pravidlo automatizace úspěšně aktivovalo. |
| Název incidentu | Řetězec | ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo. |
| Číslo incidentu | Řetězec | Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu. |
| TotalActions | Integer | Počet akcí nakonfigurovaných v tomto pravidlu automatizace |
| TriggeredOn | Řetězec | Alert nebo Incident: Objekt, pro který bylo pravidlo aktivováno. |
| AktivovanéPlaybooky | Dynamické (json) | Seznam playbooků, které toto pravidlo automatizace úspěšně aktivovalo. Každý záznam playbooku v seznamu obsahuje: - Id spuštění: ID spuštění pro tuto aktivaci pracovního postupu Logic Apps - Id pracovního postupu: Jedinečný identifikátor (úplné ID prostředku ARM) prostředku pracovního postupu Logic Apps. |
| TriggeredWhen | Řetězec | Created nebo Updated: Označuje, jestli se pravidlo aktivovalo kvůli vytvoření nebo aktualizaci incidentu nebo výstrahy. |
Playbooky
| ColumnName | ColumnType | Popis |
|---|---|---|
| Název incidentu | Řetězec | ID prostředku incidentu služby Microsoft Sentinel, při kterém se pravidlo aktivovalo. |
| Číslo incidentu | Řetězec | Pořadové číslo incidentu služby Microsoft Sentinel, jak je znázorněno na portálu. |
| RunId | Řetězec | ID spuštění pro tuto aktivaci pracovního postupu Logic Apps. |
| TriggeredByName | Dynamické (json) | Informace o identitě (uživatele nebo aplikaci), která playbook aktivovala. |
| TriggeredOn | Řetězec | Incident. Objekt, na kterém byl playbook aktivován.(Playbooky používající trigger upozornění se protokolují jenom v případě, že jsou volány pravidly automatizace, takže tato spuštění playbooků se zobrazí v rozšířené vlastnosti TriggeredPlaybooks v událostech pravidel automatizace.) |
Analytická pravidla
Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.
| ColumnName | ColumnType | Popis |
|---|---|---|
| AggregationKind | Řetězec | Nastavení seskupení událostí. AlertPerResult nebo SingleAlert: |
| VýstrahyGeneratedAmount | Integer | Počet výstrah vygenerovaných tímto spuštěním pravidla. |
| Correlationid | Řetězec | ID korelace událostí ve formátu GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Počet entit vynechaných kvůli problémům s mapováním |
| EntityGeneratedAmount | Integer | Počet entit vygenerovaných tímto spuštěním pravidla. |
| Problémy | Řetězec | |
| QueryEndTimeUTC | Datum a čas | Čas utc, kdy se dotaz začal spouštět. |
| QueryFrequency | Datum a čas | Hodnota nastavení "Run query every" (HH:MM:SS) |
| QueryPerformanceIndicators | Řetězec | |
| Dotazování | Datum a čas | Hodnota nastavení "Vyhledat data od posledního" (HH:MM:SS). |
| QueryResultAmount | Integer | Počet výsledků zachycených dotazem Pravidlo vygeneruje výstrahu, pokud tento počet překročí prahovou hodnotu definovanou níže. |
| QueryStartTimeUTC | Datum a čas | Čas dokončení dotazu (UTC) |
| RuleId | Řetězec | ID pravidla pro toto analytické pravidlo. |
| Doba trvání potlačení | Čas | Doba trvání potlačení pravidla (HH:MM:SS). |
| PotlačeníEnabled | Řetězec | Je povoleno potlačení pravidla. True/False. |
| TriggerOperator | Řetězec | Část operátora prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy. |
| TriggerThreshold | Integer | Číselná část prahové hodnoty výsledků vyžadovaná k vygenerování výstrahy. |
| Typ triggeru | Řetězec | Typ pravidla, které se aktivuje. Scheduled nebo NrtRun: |
Další kroky
- Seznamte se s auditováním a monitorováním stavu ve službě Microsoft Sentinel.
- Zapněte auditování a monitorování stavu ve službě Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelAudit