Referenz zu Microsoft Sentinel-Integritätstabellen
In diesem Artikel werden die Felder in der Tabelle SentinelHealth beschrieben, die zum Überwachen der Integrität von Microsoft Sentinel-Ressourcen dient. Mit dem Microsoft Sentinel-Feature Systemüberwachung können Sie das ordnungsgemäße Funktionieren Ihres SIEM-Systems im Auge behalten und erhalten Informationen über etwaige Integritätsabweichungen in Ihrer Umgebung.
Erfahren Sie, wie Sie die Tabelle mit Informationen zur Integrität abfragen und verwenden können, um eine bessere Überwachung und Transparenz der Aktionen in Ihrer Umgebung zu erreichen:
Wichtig
Die SentinelHealth-Datentabelle ist derzeit in VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Die Integritätsüberwachungsfunktion von Microsoft Sentinel deckt verschiedene Arten von Ressourcen ab (siehe die Ressourcentypen im Feld SentinelResourceType in der ersten Tabelle unten). Viele der Datenfelder in den folgenden Tabellen gelten für alle Ressourcentypen, aber einige haben spezifische Zwecke für den jeweiligen Typ. Dies lässt sich anhand der nachstehenden Beschreibungen erkennen.
SentinelHealth-Tabellenspaltenschema
In der folgenden Tabelle werden die Spalten und Daten beschrieben, die in der SentinelHealth-Datentabelle generiert werden:
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| TenantId | String | Die Mandanten-ID für Ihren Microsoft Sentinel-Arbeitsbereich. |
| TimeGenerated | Datetime | Der Zeitpunkt (UTC), an dem das Integritätsereignis aufgetreten ist. |
| OperationName | String | Der Integritätsvorgang. Mögliche Werte hängen vom Ressourcentyp ab. Weitere Informationen finden Sie unter Vorgangsnamen für verschiedene Ressourcentypen. |
| SentinelResourceId | String | Der eindeutige Bezeichner der Ressource, bei der das integritätsbezogene Ereignis aufgetreten ist, und der ihr zugeordnete Microsoft Sentinel-Arbeitsbereich. |
| SentinelResourceName | String | Der Name der Ressource (Connector, Regel oder Playbook). |
| Status | Zeichenfolge | Gibt das Gesamtergebnis des Vorgangs an. Mögliche Werte hängen vom Vorgangsnamen ab. Weitere Informationen finden Sie unter Vorgangsnamen für verschiedene Ressourcentypen. |
| Beschreibung | String | Beschreibt den Vorgang, einschließlich erweiterter Daten nach Bedarf. Bei Fehlern können Details zur Fehlerursache enthalten sein. |
| `Reason` | Enumeration | Zeigt einen einfachen Ursachen- oder Fehlercode für den Ausfall der Ressource an. Mögliche Werte hängen vom Ressourcentyp ab. Weitere Informationen zu den Ursachen finden Sie im Feld Beschreibung. |
| WorkspaceId | String | Die Arbeitsbereichs-GUID, für die das Integritätsproblem aufgetreten ist. Der vollständige Azure-Ressourcenbezeichner ist in der Spalte SentinelResourceID verfügbar. |
| SentinelResourceType | String | Der überwachte Microsoft Sentinel-Ressourcentyp. Mögliche Werte: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Eine Ressourcenklassifizierung innerhalb des Ressourcentyps. – Bei Datenconnectors ist dies der Typ der verbundenen Datenquelle. – Bei Analyseregeln ist dies der Typ der Regel. |
| RecordId | String | Ein eindeutiger Bezeichner für den Datensatz, der mit dem Supportteam geteilt werden kann, um nach Bedarf eine bessere Korrelation zu erreichen. |
| ExtendedProperties | Dynamisch (JSON) | Ein JSON-Behälter, der je nach Wert von OperationNameund Status des Ereignisses variiert. Einzelheiten finden Sie unter Erweiterte Eigenschaften. |
| Type | String | SentinelHealth |
Vorgangsnamen für verschiedene Ressourcentypen
| Ressourcentypen | Vorgangsnamen | Status |
|---|---|---|
| Datensammler | Änderung des Datenabrufstatus __________________ Zusammenfassung des Datenabruffehlers |
Erfolg Fehler _____________ Informational |
| Automatisierungsregeln | Automatisierungsregel ausgeführt | Erfolgreich Teilweise erfolgreich Fehler |
| Playbooks | Playbook ausgelöst | Erfolg Fehler |
| Analyseregeln | Ausführung der geplanten Analyseregel Ausführung der NRT-Analyseregel |
Erfolg Fehler |
Erweiterte Eigenschaften
Datenconnectors
– Bei Data fetch status change-Ereignissen mit einem Erfolgsindikator enthält der Behälter die Eigenschaft DestinationTable, um anzuzeigen, wo Daten dieser Ressource erwartet werden. Bei Fehlern variiert der Inhalt je nach Fehlertyp.
Automatisierungsregeln
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Anzahl der Aktionen, die die Automatisierungsregel erfolgreich ausgelöst hat. |
| IncidentName | String | Die Ressourcen-ID des Microsoft Sentinel-Incidents, für den die Regel ausgelöst wurde. |
| IncidentNumber | String | Die sequenzielle Nummer des Microsoft Sentinel-Incidents, wie im Portal gezeigt. |
| TotalActions | Integer | Anzahl der in dieser Automatisierungsregel konfigurierten Aktionen. |
| TriggeredOn | String |
Alert oder Incident. Das Objekt, für das die Regel ausgelöst wurde. |
| TriggeredPlaybooks | Dynamisch (JSON) | Eine Liste der Playbooks, die diese Automatisierungsregel erfolgreich ausgelöst hat. Jeder Playbookdatensatz in der Liste enthält Folgendes: - RunId: die Ausführungs-ID für diese Auslösung des Logic Apps-Workflows - WorkflowId: Der eindeutige Bezeichner (die vollständige ARM-Ressourcen-ID) der Logic Apps-Workflowressource. |
| TriggeredWhen | String |
Created oder Updated. Gibt an, ob die Regel aufgrund der Erstellung oder Aktualisierung eines Incidents oder einer Warnung ausgelöst wurde. |
Playbooks
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| IncidentName | String | Die Ressourcen-ID des Microsoft Sentinel-Incidents, für den die Regel ausgelöst wurde. |
| IncidentNumber | String | Die sequenzielle Nummer des Microsoft Sentinel-Incidents, wie im Portal gezeigt. |
| RunId | String | Die Ausführungs-ID für diese Auslösung des Logic Apps-Workflows. |
| TriggeredByName | Dynamisch (JSON) | Informationen zur Identität (Benutzer oder Anwendung), die das Playbook ausgelöst hat. |
| TriggeredOn | String |
Incident. Das Objekt, für das das Playbook ausgelöst wurde.(Playbooks, die den Warnungstrigger verwenden, werden nur protokolliert, wenn sie von Automatisierungsregeln aufgerufen werden. Daher werden solche Playbookausführungen in der erweiterten Eigenschaft TriggeredPlaybooks unter den Automatisierungsregelereignissen angezeigt.) |
Analyseregeln
Erweiterte Eigenschaften für Analyseregeln spiegeln bestimmte Regeleinstellungen wider.
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| AggregationKind | String | Die Einstellung der Ereignisgruppierung.
AlertPerResult oder SingleAlert. |
| AlertsGeneratedAmount | Integer | Die Anzahl der Warnungen, die von dieser Ausführung der Regel generiert wurden. |
| CorrelationId | String | Die Ereigniskorrelations-ID im GUID-Format. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Die Anzahl der Entitäten, die aufgrund von Zuordnungsproblemen getrennt wurden. |
| EntitiesGeneratedAmount | Integer | Die Anzahl der Entitäten, die von dieser Ausführung der Regel generiert wurden. |
| Probleme | String | |
| QueryEndTimeUTC | Datetime | Der UTC-Zeitpunkt, an dem die Abfrage ausgeführt wurde. |
| QueryFrequency | Datetime | Wert der Einstellung „Abfrage ausführen alle“ (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Wert der Einstellung „Datensuche für letzte“ (HH:MM:SS). |
| QueryResultAmount | Integer | Die Anzahl der von der Abfrage erfassten Ergebnisse. Die Regel generiert eine Warnung, wenn diese Zahl den unten definierten Schwellenwert überschreitet. |
| QueryStartTimeUTC | Datetime | Die UTC-Zeit, zu der die Ausführung der Abfrage abgeschlossen wurde. |
| RuleId | String | Die Regel-ID für diese Analyseregel. |
| SuppressionDuration | Time | Die Dauer der Regelunterdrückung (HH:MM:SS). |
| SuppressionEnabled | String | Die Regelunterdrückung ist aktiviert.
True/False. |
| TriggerOperator | String | Der Operatorteil des Ergebnisschwellenwerts, der zum Generieren einer Warnung erforderlich ist. |
| TriggerThreshold | Integer | Der Nummernteil des Ergebnisschwellenwerts, der zum Generieren einer Warnung erforderlich ist. |
| TriggerType | String | Der Typ der ausgelösten Regel.
Scheduled oder NrtRun. |
Nächste Schritte
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Automatisierungsregeln und Playbooks.
- Überwachen der Integrität der Datenconnectors.
- Überwachen der Integrität der Analyseregeln.
- SentinelAudit-Tabellenreferenz