다음을 통해 공유


Microsoft Sentinel 상태 테이블 참조

이 문서에서는 Microsoft Sentinel 리소스의 상태를 모니터링하는 데 사용되는 SentinelHealth 테이블의 필드에 대해 설명합니다. Microsoft Sentinel 상태 모니터링 기능을 사용하면 SIEM의 적절한 작동을 감시하고 환경의 상태 드리프트에 대한 정보를 얻을 수 있습니다.

환경 내 작업의 심층 모니터링 및 가시성을 위해 상태 테이블을 쿼리하고 사용하는 방법을 알아봅니다.

중요

SentinelHealth 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Microsoft Sentinel의 상태 모니터링 기능은 다양한 종류의 리소스를 다룹니다(아래 첫 번째 표의 SentinelResourceType 필드에 있는 리소스 종류 참조). 다음 표의 많은 데이터 필드는 리소스 종류에 적용되지만 일부 데이터 필드에는 각 형식에 대한 특정 애플리케이션이 있습니다. 아래 설명은 한 가지 방법 또는 다른 방법을 나타냅니다.

SentinelHealth 테이블 열 스키마

다음 표에서는 SentinelHealth 데이터 테이블에서 생성된 열과 데이터를 설명합니다.

ColumnName ColumnType Description
TenantId String Microsoft Sentinel 작업 영역의 테넌트 ID입니다.
TimeGenerated DateTime 상태 이벤트가 발생한 시간(UTC)입니다.
OperationName String 상태 작업입니다. 가능한 값은 리소스 종류에 따라 달라집니다.
자세한 내용은 다양한 리소스 종류에 대한 작업 이름을 참조하세요.
SentinelResourceId String 상태 이벤트가 발생한 리소스 및 관련 Microsoft Sentinel 작업 영역의 고유 식별자입니다.
SentinelResourceName String 리소스의 이름(커넥터, 규칙 또는 플레이북)입니다.
상태 String 작업의 전체 결과를 나타냅니다. 가능한 값은 작업 이름에 따라 달라집니다.
자세한 내용은 다양한 리소스 종류에 대한 작업 이름을 참조하세요.
설명 String 필요에 따라 확장 데이터를 포함하여 작업을 설명합니다. 오류의 경우 실패 이유에 대한 세부 정보가 포함될 수 있습니다.
이유 열거형 리소스 오류에 대한 기본 이유 또는 오류 코드를 표시합니다. 가능한 값은 리소스 종류에 따라 달라집니다. 자세한 이유는 설명 필드에서 찾을 수 있습니다.
WorkspaceId String 상태 문제가 발생한 작업 영역 GUID입니다. 전체 Azure 리소스 식별자는 SentinelResourceID 열에서 사용할 수 있습니다.
SentinelResourceType String 모니터링 중인 Microsoft Sentinel 리소스 종류.
가능한 값: Data connector, Automation rule, Playbook, Analytics rule
SentinelResourceKind String 리소스 종류 내의 리소스 분류입니다.
- 데이터 커넥터의 경우, 연결된 데이터 원본의 형식입니다.
- 분석 규칙의 경우 규칙의 유형입니다.
RecordId String 필요에 따라 더 나은 상관 관계를 위해 지원 팀과 공유할 수 있는 레코드의 고유 식별자입니다.
ExtendedProperties 동적(json) 이벤트의 OperationName 값과 Status에 따라 달라지는 JSON 모음.
자세한 내용은 확장 속성 액세스를 참조하세요.
형식 String SentinelHealth

다양한 리소스 종류에 대한 작업 이름

리소스 종류 작업 이름 상태
데이터 수집기 데이터 가져오기 상태 변경

__________________
데이터 가져오기 실패 요약
Success
실패
_____________
정보 제공
자동화 규칙 자동화 규칙 실행 Success
부분 성공
실패
플레이북 플레이북 트리거됨 Success
실패
Analytics 규칙 예약된 분석 규칙 실행
NRT 분석 규칙 실행
Success
실패

확장 속성

데이터 커넥터

성공 표시기가 있는 Data fetch status change 이벤트의 경우 모음에는 이 리소스의 데이터가 도착할 것으로 예상되는 위치를 나타내는 'DestinationTable' 속성이 포함됩니다. 오류의 경우 콘텐츠는 오류 유형에 따라 달라집니다.

자동화 규칙

ColumnName ColumnType Description
ActionsTriggeredSuccessfully 정수 자동화 규칙이 성공적으로 트리거된 작업 수입니다.
IncidentName String 규칙이 트리거된 Microsoft Sentinel 인시던트 리소스 ID입니다.
IncidentNumber String 포털에 표시된 Microsoft Sentinel 인시던트의 순차적 수입니다.
TotalActions 정수 이 자동화 규칙에 구성된 작업 수입니다.
TriggeredOn String Alert 또는 Incident. 규칙이 트리거된 개체입니다.
TriggeredPlaybooks 동적(json) 이 자동화 규칙이 성공적으로 트리거된 플레이북 목록입니다.

목록의 각 플레이북 레코드에는 다음이 포함됩니다.
- RunId: Logic Apps 워크플로의 이 트리거에 대한 실행 ID
- WorkflowId: Logic Apps 워크플로 리소스의 고유 식별자(전체 ARM 리소스 ID)
TriggeredWhen String Created 또는 Updated. 인시던트 또는 경고의 생성이나 업데이트로 인해 규칙이 트리거되었는지 여부를 나타냅니다.

플레이북

ColumnName ColumnType Description
IncidentName String 규칙이 트리거된 Microsoft Sentinel 인시던트 리소스 ID입니다.
IncidentNumber String 포털에 표시된 Microsoft Sentinel 인시던트의 순차적 수입니다.
RunId String Logic Apps 워크플로의 이 트리거에 대한 실행 ID입니다.
TriggeredByName 동적(json) 플레이북을 트리거한 ID(사용자 또는 애플리케이션)에 대한 정보입니다.
TriggeredOn String Incident. 플레이북이 트리거된 개체입니다.
(경고 트리거를 사용하는 플레이북은 자동화 규칙에 의해 호출되는 경우에만 기록되므로 해당 플레이북 실행은 자동화 규칙 이벤트의 TriggeredPlaybooks 확장 속성에 표시됩니다.)

Analytics 규칙

분석 규칙에 대한 확장 속성은 특정 규칙 설정을 반영합니다.

ColumnName ColumnType Description
AggregationKind String 이벤트 그룹화 설정입니다. AlertPerResult 또는 SingleAlert.
AlertsGeneratedAmount 정수 이 규칙 실행에 의해 생성된 경고 수입니다.
CorrelationId String GUID 형식의 이벤트 상관 관계 ID입니다.
EntitiesDroppedDueToMappingIssuesAmount 정수 매핑 문제로 인해 삭제된 엔터티 수입니다.
EntitiesGeneratedAmount 정수 이 규칙 실행에 의해 생성된 엔터티 수입니다.
문제 String
QueryEndTimeUTC DateTime 쿼리 실행이 시작된 UTC 시간입니다.
QueryFrequency DateTime "쿼리 실행 간격" 설정의 값입니다(HH:MM:SS).
QueryPerformanceIndicators String
QueryPeriod DateTime "마지막부터 데이터 조회" 설정의 값입니다(HH:MM:SS).
QueryResultAmount 정수 쿼리에서 캡처된 결과 수입니다.
이 숫자가 아래에 정의된 임계값을 초과하면 규칙이 경고를 생성합니다.
QueryStartTimeUTC DateTime 쿼리가 실행을 완료한 UTC 시간입니다.
RuleId String 이 분석 규칙의 규칙 ID입니다.
SuppressionDuration Time 규칙 표시 안 함 기간입니다(HH:MM:SS).
SuppressionEnabled String 규칙 표시 안 함이 사용하도록 설정되었습니다. True/False.
TriggerOperator String 경고를 생성하는 데 필요한 결과 임계값의 연산자 부분입니다.
TriggerThreshold 정수 경고를 생성하는 데 필요한 결과 임계값의 숫자 부분입니다.
TriggerType String 트리거되는 규칙의 유형입니다. Scheduled 또는 NrtRun.

다음 단계