Referensi tabel kesehatan Microsoft Azure Sentinel
Artikel ini menjelaskan bidang dalam tabel SentinelHealth yang digunakan untuk memantau kesehatan sumber daya Microsoft Azure Sentinel. Dengan fitur pemantauan kesehatan Microsoft Azure Sentinel, Anda dapat menyimpan tab pada fungsi SIEM Anda yang tepat dan mendapatkan informasi tentang penyimpangan kesehatan apa pun di lingkungan Anda.
Pelajari cara mengkueri dan menggunakan tabel kesehatan untuk pemantauan dan visibilitas tindakan yang lebih mendalam di lingkungan Anda:
- Untuk konektor data
- Untuk aturan otomatisasi dan playbook
- Untuk aturan analitik
Penting
Tabel data SentinelHealth saat ini berada dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Fitur pemantauan kesehatan Microsoft Azure Sentinel mencakup berbagai jenis sumber daya (lihat jenis sumber daya di bidang SentinelResourceType pada tabel pertama di bawah). Banyak bidang data dalam tabel berikut ini berlaku di seluruh jenis sumber daya, tetapi beberapa memiliki aplikasi tertentu untuk setiap jenis. Deskripsi di bawah ini akan menunjukkan salah satu cara atau yang lain.
Skema kolom tabel SentinelHealth
Tabel berikut ini menjelaskan kolom dan data yang dibuat dalam tabel data SentinelHealth:
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| TenantId | String | ID penyewa untuk ruang kerja Microsoft Sentinel Anda. |
| TimeGenerated | Tanggalwaktu | Waktu (UTC) di mana peristiwa kesehatan terjadi. |
| OperationName | String | Operasi kesehatan. Nilai yang mungkin bergantung pada jenis sumber daya. Lihat Nama operasi untuk jenis sumber daya yang berbeda untuk detailnya. |
| SentinelResourceId | String | Pengidentifikasi unik sumber daya tempat peristiwa kesehatan terjadi, dan ruang kerja Microsoft Azure Sentinel terkait. |
| SentinelResourceName | String | Nama sumber daya (konektor, aturan, atau playbook). |
| Kondisi | String | Menunjukkan hasil keseluruhan operasi. Nilai yang mungkin bergantung pada nama operasi. Lihat Nama operasi untuk jenis sumber daya yang berbeda untuk detailnya. |
| Deskripsi | String | Menjelaskan operasi, termasuk data yang diperluas sesuai kebutuhan. Untuk kegagalan, ini dapat mencakup detail alasan kegagalan. |
| Alasan | Enum | Menunjukkan alasan dasar atau kode kesalahan untuk kegagalan sumber daya. Nilai yang mungkin bergantung pada jenis sumber daya. Alasan lebih rinci dapat ditemukan di bidang Deskripsi . |
| WorkspaceId | String | Ruang kerja GUID tempat masalah kesehatan terjadi. Pengidentifikasi Sumber Daya Azure lengkap tersedia di kolom SentinelResourceID. |
| SentinelResourceType | String | Jenis sumber daya Microsoft Azure Sentinel sedang dipantau. Nilai yang mungkin: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Klasifikasi sumber daya dalam jenis sumber daya. - Untuk konektor data, ini adalah jenis sumber data yang terhubung. - Untuk aturan analitik, ini adalah jenis aturan. |
| RecordId | String | Pengidentifikasi unik untuk rekaman yang dapat dibagikan dengan tim dukungan untuk korelasi yang lebih baik sesuai kebutuhan. |
| ExtendedProperties | Dinamis (json) | Tas JSON yang bervariasi menurut nilai OperationName dan Status peristiwa. Lihat Properti yang diperluas untuk detailnya. |
| Jenis | String | SentinelHealth |
Nama operasi untuk jenis sumber daya yang berbeda
| Jenis sumber daya | Nama operasi | Status |
|---|---|---|
| Pengumpul data | Perubahan status pengambilan data __________________ Ringkasan kegagalan pengambilan data |
Berhasil Kegagalan _____________ Informasi |
| Aturan automasi | Eksekusi aturan automasi | Berhasil Keberhasilan parsial Kegagalan |
| Playbook | Playbook dipicu | Berhasil Kegagalan |
| Aturan analitik | Eksekusi aturan analitik terjadwal Aturan analitik NRT berjalan |
Berhasil Kegagalan |
Properti yang diperluas
Konektor data
Untuk Data fetch status change peristiwa dengan indikator keberhasilan, tas berisi properti 'DestinationTable' untuk menunjukkan di mana data dari sumber daya ini diharapkan mendarat. Untuk kegagalan, kontennya bervariasi tergantung pada jenis kegagalan.
Aturan automasi
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| ActionsTriggeredSuccessfully | Bilangan bulat | Jumlah tindakan yang berhasil dipicu aturan otomatisasi. |
| IncidentName | String | ID sumber daya insiden Microsoft Sentinel tempat aturan dipicu. |
| IncidentNumber | String | Jumlah berurutan insiden Microsoft Azure Sentinel seperti yang ditunjukkan di portal. |
| TotalActions | Bilangan bulat | Jumlah tindakan yang dikonfigurasi dalam aturan otomatisasi ini. |
| TriggeredOn | String | Alert atau Incident. Objek tempat aturan dipicu. |
| TriggeredPlaybooks | Dinamis (json) | Daftar playbook yang berhasil dipicu aturan otomatisasi ini. Setiap rekaman playbook dalam daftar berisi: - RunId: ID eksekusi untuk pemicu alur kerja Logic Apps ini - WorkflowId: Pengidentifikasi unik (ID sumber daya ARM lengkap) dari sumber daya alur kerja Logic Apps. |
| DipicuKetika | String | Created atau Updated. Menunjukkan apakah aturan dipicu karena pembuatan atau pembaruan insiden atau pemberitahuan. |
Playbook
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| IncidentName | String | ID sumber daya insiden Microsoft Sentinel tempat aturan dipicu. |
| IncidentNumber | String | Jumlah berurutan insiden Microsoft Azure Sentinel seperti yang ditunjukkan di portal. |
| RunId | String | ID eksekusi untuk pemicu alur kerja Logic Apps ini. |
| TriggeredByName | Dinamis (json) | Informasi tentang identitas (pengguna atau aplikasi) yang memicu playbook. |
| TriggeredOn | String | Incident. Objek tempat playbook dipicu.(Playbook yang menggunakan pemicu pemberitahuan dicatat hanya jika dipanggil oleh aturan otomatisasi, sehingga eksekusi playbook tersebut akan muncul di properti yang diperluas TriggeredPlaybooks di bawah peristiwa aturan otomatisasi.) |
Aturan analitik
Properti yang diperluas untuk aturan analitik mencerminkan pengaturan aturan tertentu.
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| AgregasiKind | String | Pengaturan pengelompokan peristiwa. AlertPerResult atau SingleAlert. |
| AlertsGeneratedAmount | Bilangan bulat | Jumlah pemberitahuan yang dihasilkan oleh menjalankan aturan ini. |
| CorrelationId | String | ID korelasi peristiwa dalam format GUID. |
| EntitasDroppedDueToMappingIssuesAmount | Bilangan bulat | Jumlah entitas yang dihilangkan karena masalah pemetaan. |
| EntitasGeneratedAmount | Bilangan bulat | Jumlah entitas yang dihasilkan oleh menjalankan aturan ini. |
| Terbitan | String | |
| QueryEndTimeUTC | Tanggalwaktu | Waktu UTC kueri mulai berjalan. |
| QueryFrequency | Tanggalwaktu | Nilai pengaturan "Jalankan kueri setiap" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Tanggalwaktu | Nilai pengaturan "Cari data dari yang terakhir" (HH:MM:SS). |
| QueryResultAmount | Bilangan bulat | Jumlah hasil yang diambil oleh kueri. Aturan akan menghasilkan pemberitahuan jika angka ini melebihi ambang batas seperti yang didefinisikan di bawah ini. |
| QueryStartTimeUTC | Tanggalwaktu | Waktu UTC kueri menyelesaikan eksekusinya. |
| RuleId | String | ID aturan untuk aturan analitik ini. |
| SuppressionDuration | Waktu | Durasi penekanan aturan (HH:MM:SS). |
| SuppressionEnabled | String | Apakah penekanan aturan diaktifkan. True/False. |
| TriggerOperator | String | Bagian operator dari ambang hasil yang diperlukan untuk menghasilkan pemberitahuan. |
| TriggerThreshold | Bilangan bulat | Bagian angka dari ambang hasil yang diperlukan untuk menghasilkan pemberitahuan. |
| TriggerType | String | Jenis aturan yang dipicu. Scheduled atau NrtRun. |
Langkah berikutnya
- Pelajari tentang audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
- Aktifkan audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
- Pantau kesehatan aturan dan playbook otomatisasi Anda.
- Pantau kesehatan konektor data Anda.
- Pantau kesehatan dan integritas aturan analitik Anda.
- Referensi tabel SentinelAudit