Microsoft Sentinel 正常性テーブルのリファレンス
この記事では、Microsoft Sentinel リソースの正常性の監視に使用される SentinelHealth テーブルのフィールドについて説明します。 Microsoft Sentinel の稼働状況の監視機能を使用すると、SIEM の適切な機能を監視し、環境内に生じたあらゆる正常性ドリフトの情報を把握することができます。
正常性テーブルに対してクエリを実行したり正常性テーブルを使用したりすることによって、環境内のアクションをより注意深く監視し、可視性を高める方法について説明します。
- データ コネクタの場合
- オートメーション ルールとプレイブックの場合
- 分析ルールの場合
重要
SentinelHealth データ テーブルは、現在、プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel の正常性監視機能は、さまざまなリソースを対象としています (以下に示す 1 つ目のテーブルの SentinelResourceType フィールドのリソースの型を参照してください)。 以下のテーブルのデータ フィールドは、その多くがリソースの種類に関係なく当てはまりますが、中には種類ごとに固有の用途があるものもあります。 以下の説明は、そのいずれか 1 つの用途を示しています。
SentinelHealth テーブル列のスキーマ
次の表では、SentinelHealth データ テーブルで生成される列とデータについて説明します。
| ColumnName | [列の型] | 説明 |
|---|---|---|
| TenantId | String | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | Datetime | 正常性イベントが発生した時刻 (UTC)。 |
| OperationName | String | 正常性操作。 候補となる値は、リソースの種類によって異なります。 詳細については、「リソースの種類ごとの操作名」を参照してください。 |
| SentinelResourceId | String | 正常性イベントが発生したリソースとそれに関連する Microsoft Sentinel ワークスペースの一意識別子。 |
| SentinelResourceName | String | リソースの名前 (コネクタ、ルール、またはプレイブック)。 |
| Status | String | 操作の全体的な結果を示します。 候補となる値は、操作名によって異なります。 詳細については、「リソースの種類ごとの操作名」を参照してください。 |
| 説明 | String | 必要に応じて拡張データを含む操作について説明します。 エラーの場合は、エラーの理由について詳しい情報が含まれることもあります。 |
| 理由 | 列挙型 | リソースのエラーに関する基本的な理由またはエラー コードを示します。 候補となる値は、リソースの種類によって異なります。 Description フィールドでさらに詳しい理由を確認できます。 |
| WorkspaceId | String | 正常性の問題が発生したワークスペースの GUID。 完全な Azure リソース識別子は、SentinelResourceID 列で使用できます。 |
| SentinelResourceType | String | 監視対象の Microsoft Sentinel リソースの種類: 指定できる値: Data connector、Automation rule、Playbook、Analytics rule |
| SentinelResourceKind | String | リソースの種類内のリソース分類。 - データ コネクタの場合、これは接続されたデータ ソースの種類です。 - 分析ルールの場合、これはルールの種類です。 |
| RecordId | String | 必要に応じて、相互の関係の向上のためにサポート チームと共有できるレコードの一意識別子。 |
| ExtendedProperties | 動的 (json) | イベントの Status と OperationName 値によって異なる JSON バッグ。 詳細については、「拡張プロパティ」を参照してください。 |
| Type | String | SentinelHealth |
リソースの種類ごとの操作名
| リソースの種類 | 操作名 | ステータス |
|---|---|---|
| データ コレクター | Data fetch status change (データ フェッチの状態の変更) __________________ Data fetch failure summary (データ フェッチ エラーの概要) |
Success 障害 _____________ Informational |
| オートメーション ルール | Automation rule run (オートメーション ルールが実行された) | Success 一部成功 障害 |
| プレイブック | Playbook was triggered (プレイブックがトリガーされた) | Success 障害 |
| 分析ルール | スケジュールされた分析ルールの実行 NRT 分析ルールの実行 |
Success 障害 |
拡張プロパティ
データ コネクタ
成功インジケーターを持つ Data fetch status change イベントの場合、このバッグには、このコネクタからのデータが到着すると予想される場所を示す "DestinationTable" プロパティが含まれます。 失敗の場合は、失敗の種類によって内容が異なります。
オートメーション ルール
| ColumnName | [列の型] | 説明 |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | オートメーション ルールが正常にトリガーされたアクションの数。 |
| IncidentName | String | ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | String | ポータルに表示される Microsoft Sentinel インシデントのシーケンシャル番号。 |
| TotalActions | Integer | このオートメーション ルールに構成されているアクションの数。 |
| TriggeredOn | String | Alert または Incident。 ルールがトリガーされたオブジェクト。 |
| TriggeredPlaybooks | 動的 (json) | このオートメーション ルールが正常にトリガーされたプレイブックのリスト。 リスト内の各プレイブック レコードは、次の情報を保持します。 - RunId: この Logic Apps ワークフロー トリガーの実行 ID。 - WorkflowId: Logic Apps ワークフロー リソースの一意識別子 (完全な ARM リソース ID)。 |
| TriggeredWhen | String | Created または Updated。 インシデントまたはアラートの作成または更新によってルールがトリガーされたかどうかを示します。 |
プレイブック
| ColumnName | [列の型] | 説明 |
|---|---|---|
| IncidentName | String | ルールがトリガーされた Microsoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | String | ポータルに表示される Microsoft Sentinel インシデントのシーケンシャル番号。 |
| RunId | String | この Logic Apps ワークフロー トリガーの実行 ID。 |
| TriggeredByName | 動的 (json) | プレイブックをトリガーした ID (ユーザーまたはアプリケーション) に関する情報。 |
| TriggeredOn | String | Incident. プレイブックがトリガーされたオブジェクト。(アラート トリガーを使用するプレイブックがログに記録されるのは、オートメーション ルールによって呼び出された場合のみです。そのため、これらのプレイブックの実行は、オートメーション ルール イベントの TriggeredPlaybooks 拡張プロパティに反映されます。) |
分析ルール
分析ルールの拡張プロパティには、特定のルール設定が反映されます。
| ColumnName | [列の型] | 説明 |
|---|---|---|
| AggregationKind | String | イベントのグループ化設定。 AlertPerResult または SingleAlert。 |
| AlertsGeneratedAmount | Integer | このルールの実行によって生成されたアラートの数。 |
| CorrelationId | String | GUID 形式のイベント関連付け ID。 |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | マッピングの問題でドロップされたエンティティの数。 |
| EntitiesGeneratedAmount | Integer | このルールの実行によって生成されたエンティティの数。 |
| 問題 | String | |
| QueryEndTimeUTC | Datetime | クエリの実行が開始された UTC 時刻。 |
| QueryFrequency | Datetime | [クエリの実行間隔] 設定 (HH:MM:SS) の値。 |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | [過去のデータを参照します] 設定 (HH:MM:SS) の値。 |
| QueryResultAmount | Integer | クエリによって取り込まれた結果の数。 以下に定義されているしきい値をこの数値が超えると、ルールによってアラートが生成されます。 |
| QueryStartTimeUTC | Datetime | クエリの実行が完了した UTC 時刻。 |
| RuleId | String | この分析ルールのルール ID。 |
| SuppressionDuration | 時刻 | ルールの抑制期間 (HH:MM:SS)。 |
| SuppressionEnabled | String | ルールの抑制が有効かどうか。 True/False. |
| TriggerOperator | String | アラートを生成するために必要な結果のしきい値の演算子部分。 |
| TriggerThreshold | Integer | アラートを生成するために必要な結果のしきい値の数値部分。 |
| TriggerType | String | トリガーされるルールの種類。 Scheduled または NrtRun。 |
次のステップ
- Microsoft Sentinel での監査と稼働状況の監視について確認します。
- Microsoft Sentinel で監査と稼働状況の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- SentinelAudit テーブルのリファレンス