Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Felder in der SentinelHealth-Tabelle beschrieben, die zum Überwachen der Integrität von Microsoft Sentinel Ressourcen verwendet werden. Mit dem Feature zur Microsoft Sentinel Integritätsüberwachung können Sie die ordnungsgemäße Funktionsweise Ihres SIEM im Überblick behalten und Informationen zu Integritätsabweichungen in Ihrer Umgebung abrufen.
Erfahren Sie, wie Sie die Integritätstabelle für eine tiefere Überwachung und Sichtbarkeit von Aktionen in Ihrer Umgebung abfragen und verwenden:
die Integritätsüberwachungsfunktion von Microsoft Sentinel deckt verschiedene Arten von Ressourcen ab (siehe Ressourcentypen im Feld SentinelResourceType in der ersten Tabelle unten). Viele der Datenfelder in den folgenden Tabellen gelten für Ressourcentypen, aber einige verfügen über spezifische Anwendungen für jeden Typ. Die folgenden Beschreibungen weisen auf die eine oder andere Weise hin.
SentinelHealth-Tabellenspaltenschema
In der folgenden Tabelle werden die Spalten und Daten beschrieben, die in der SentinelHealth-Datentabelle generiert werden:
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| TenantId | Zeichenfolge | Die Mandanten-ID für Ihren Microsoft Sentinel Arbeitsbereich. |
| TimeGenerated | Datetime | Die Zeit (UTC), zu der das Integritätsereignis aufgetreten ist. |
| OperationName | Zeichenfolge | Der Integritätsvorgang. Mögliche Werte hängen vom Ressourcentyp ab. Weitere Informationen finden Sie unter Vorgangsnamen für verschiedene Ressourcentypen . |
| SentinelResourceId | Zeichenfolge | Der eindeutige Bezeichner der Ressource, für die das Integritätsereignis aufgetreten ist, und die zugehörige Microsoft Sentinel Arbeitsbereichs. |
| SentinelResourceName | Zeichenfolge | Der Name der Ressource (Connector, Regel oder Playbook). |
| Status | Zeichenfolge | Gibt das Gesamtergebnis des Vorgangs an. Mögliche Werte hängen vom Namen des Vorgangs ab. Weitere Informationen finden Sie unter Vorgangsnamen für verschiedene Ressourcentypen . |
| Beschreibung | Zeichenfolge | Beschreibt den Vorgang, einschließlich erweiterter Daten nach Bedarf. Bei Fehlern kann dies Details zur Fehlerursache enthalten. |
| Grund | Enum | Zeigt einen grundlegenden Grund oder Fehlercode für den Fehler der Ressource an. Mögliche Werte hängen vom Ressourcentyp ab. Ausführlichere Gründe finden Sie im Feld Beschreibung . |
| WorkspaceId | Zeichenfolge | Die Arbeitsbereichs-GUID, auf der das Integritätsproblem aufgetreten ist. Der vollständige Azure Ressourcenbezeichner ist in der Spalte SentinelResourceID verfügbar. |
| SentinelResourceType | Zeichenfolge | Der Microsoft Sentinel ressourcentyp, der überwacht wird. Mögliche Werte: Data connector, Automation rule, Playbook, , Analytics rule |
| SentinelResourceKind | Zeichenfolge | Eine Ressourcenklassifizierung innerhalb des Ressourcentyps. – Bei Datenconnectors ist dies der Typ der verbundenen Datenquelle. – Bei Analyseregeln ist dies der Regeltyp. |
| Recordid | Zeichenfolge | Ein eindeutiger Bezeichner für den Datensatz, der für das Supportteam freigegeben werden kann, um bei Bedarf eine bessere Korrelation zu erhalten. |
| ExtendedProperties | Dynamisch (JSON) | Ein JSON-Behälter, der je nach OperationName-Wert und Status des Ereignisses variiert. Weitere Informationen finden Sie unter Erweiterte Eigenschaften . |
| Type | Zeichenfolge | SentinelHealth |
Vorgangsnamen für verschiedene Ressourcentypen
| Ressourcentypen | Vorgangsnamen | Status |
|---|---|---|
| Datensammler | Datenabruf status Änderung __________________ Zusammenfassung des Datenabruffehlers |
Erfolgreich Fehler _____________ Zur Information |
| Automatisierungsregeln | Automatisierungsregelausführung | Erfolgreich Teilerfolg Fehler |
| Playbooks | Playbook wurde ausgelöst | Erfolgreich Fehler |
| Analyseregeln | Ausführung einer geplanten Analyseregel Ausführen der NRT-Analyseregel |
Erfolgreich Fehler |
Erweiterte Eigenschaften
Datenconnectors
Bei Data fetch status change Ereignissen mit einem Erfolgsindikator enthält der Beutel eine DestinationTable-Eigenschaft, die angibt, wo Die Daten aus dieser Ressource voraussichtlich landen sollen. Bei Fehlern variiert der Inhalt je nach Fehlertyp.
Automatisierungsregeln
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Anzahl der Aktionen, die die Automatisierungsregel erfolgreich ausgelöst hat. |
| IncidentName | Zeichenfolge | Die Ressourcen-ID des Microsoft Sentinel Incidents, bei dem die Regel ausgelöst wurde. |
| IncidentNumber | Zeichenfolge | Die sequenzielle Nummer des Microsoft Sentinel Incidents, wie im Portal angezeigt. |
| TotalActions | Integer | Anzahl der in dieser Automatisierungsregel konfigurierten Aktionen. |
| TriggeredOn | Zeichenfolge |
Alert oder Incident. Das Objekt, für das die Regel ausgelöst wurde. |
| TriggeredPlaybooks | Dynamisch (JSON) | Eine Liste der Playbooks, die diese Automatisierungsregel erfolgreich ausgelöst hat. Jeder Playbookdatensatz in der Liste enthält: - RunId: Die Ausführungs-ID für diese Auslösung des Logic Apps-Workflows - WorkflowId: Der eindeutige Bezeichner (vollständige ARM-Ressourcen-ID) der Logic Apps-Workflowressource. |
| TriggeredWhen | Zeichenfolge |
Created oder Updated. Gibt an, ob die Regel aufgrund der Erstellung oder Aktualisierung eines Incidents oder einer Warnung ausgelöst wurde. |
Playbooks
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| IncidentName | Zeichenfolge | Die Ressourcen-ID des Microsoft Sentinel Incidents, bei dem die Regel ausgelöst wurde. |
| IncidentNumber | Zeichenfolge | Die sequenzielle Nummer des Microsoft Sentinel Incidents, wie im Portal angezeigt. |
| RunId | Zeichenfolge | Die Ausführungs-ID für diese Auslösung des Logic Apps-Workflows. |
| TriggeredByName | Dynamisch (JSON) | Informationen zur Identität (Benutzer oder Anwendung), die das Playbook ausgelöst hat. |
| TriggeredOn | Zeichenfolge |
Incident. Das Objekt, für das das Playbook ausgelöst wurde.(Playbooks, die den Warnungstrigger verwenden, werden nur protokolliert, wenn sie von Automatisierungsregeln aufgerufen werden, sodass diese Playbookausführungen in der erweiterten Eigenschaft TriggeredPlaybooks unter Automatisierungsregelereignissen angezeigt werden.) |
Analyseregeln
Erweiterte Eigenschaften für Analyseregeln spiegeln bestimmte Regeleinstellungen wider.
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| AggregationKind | Zeichenfolge | Die Ereignisgruppierungseinstellung.
AlertPerResult oder SingleAlert. |
| AlertsGeneratedAmount | Integer | Die Anzahl der Warnungen, die von dieser Ausführung der Regel generiert werden. |
| Correlationid | Zeichenfolge | Die Ereigniskorrelations-ID im GUID-Format. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Die Anzahl der Entitäten, die aufgrund von Zuordnungsproblemen verworfen wurden. |
| EntitiesGeneratedAmount | Integer | Die Anzahl der Entitäten, die von dieser Ausführung der Regel generiert werden. |
| Issues | Zeichenfolge | |
| QueryEndTimeUTC | Datetime | Die UTC-Zeit, zu der die Abfrage ausgeführt wurde. |
| QueryFrequency | Datetime | Wert der Einstellung "Abfrage ausführen alle ausführen" (HH:MM:SS). |
| QueryPerformanceIndicators | Zeichenfolge | |
| QueryPeriod | Datetime | Wert der Einstellung "Nachschlagen von Daten von der letzten" (HH:MM:SS). |
| QueryResultAmount | Integer | Die Anzahl der von der Abfrage erfassten Ergebnisse. Die Regel generiert eine Warnung, wenn diese Zahl den unten definierten Schwellenwert überschreitet. |
| QueryStartTimeUTC | Datetime | Die UTC-Zeit, zu der die Abfrage ihre Ausführung abgeschlossen hat. |
| RuleId | Zeichenfolge | Die Regel-ID für diese Analyseregel. |
| SuppressionDuration | Time | Die Regelunterdrückungsdauer (HH:MM:SS). |
| SuppressionEnabled | Zeichenfolge | Ist die Regelunterdrückung aktiviert.
True/False. |
| TriggerOperator | Zeichenfolge | Der Operatorteil des Schwellenwerts der Ergebnisse, der zum Generieren einer Warnung erforderlich ist. |
| TriggerThreshold | Integer | Die Anzahl des Schwellenwerts der Ergebnisse, die zum Generieren einer Warnung erforderlich sind. |
| TriggerType | Zeichenfolge | Der Typ der regel, die ausgelöst wird.
Scheduled oder NrtRun. |
Nächste Schritte
- Erfahren Sie mehr über die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Aktivieren Sie die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Überwachen Sie die Integrität Ihrer Automatisierungsregeln und Playbooks.
- Überwachen Sie die Integrität Ihrer Datenconnectors.
- Überwachen Sie die Integrität und Integrität Ihrer Analyseregeln.
- Referenz zu SentinelAudit-Tabellen