Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver feltene i SentinelHealth-tabellen som brukes til å overvåke tilstanden til Microsoft Sentinel ressurser. Med Microsoft Sentinel tilstandsovervåkingsfunksjonen kan du holde oversikt over riktig funksjon av SIEM og få informasjon om eventuelle tilstandsdrifter i miljøet ditt.
Lær hvordan du spør og bruker tilstandstabellen for dypere overvåking og synlighet av handlinger i miljøet ditt:
Microsoft Sentinel tilstandsovervåkingsfunksjon dekker ulike typer ressurser (se ressurstypene i SentinelResourceType-feltet i den første tabellen nedenfor). Mange av datafeltene i tabellene nedenfor gjelder på tvers av ressurstyper, men noen har bestemte programmer for hver type. Beskrivelsene nedenfor angir den ene eller den andre måten.
Skjema for SentinelHealth-tabellkolonner
Tabellen nedenfor beskriver kolonnene og dataene som genereres i SentinelHealth-datatabellen:
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| TenantId | Streng | Leier-ID-en for Microsoft Sentinel-arbeidsområdet. |
| TimeGenerated | Datetime | Tidspunktet (UTC) da tilstandshendelsen oppstod. |
| OperationName | Streng | Tilstandsoperasjonen. Mulige verdier avhenger av ressurstypen. Se Operasjonsnavn for ulike ressurstyper for mer informasjon. |
| SentinelResourceId | Streng | Den unike identifikatoren for ressursen som tilstandshendelsen oppstod på, og den tilknyttede Microsoft Sentinel arbeidsområdet. |
| SentinelResourceName | Streng | Navnet på ressursen (kobling, regel eller strategiplan). |
| Status | Streng | Angir det totale resultatet av operasjonen. Mulige verdier avhenger av operasjonsnavnet. Se Operasjonsnavn for ulike ressurstyper for mer informasjon. |
| Beskrivelse | Streng | Beskriver operasjonen, inkludert utvidede data etter behov. For feil kan dette omfatte detaljer om årsaken til feilen. |
| Grunn | Enum | Viser en grunnleggende årsak eller feilkode for ressursfeilen. Mulige verdier avhenger av ressurstypen. Du finner mer detaljerte årsaker i Beskrivelse-feltet . |
| WorkspaceId | Streng | GUID-en for arbeidsområdet der det oppstod et tilstandsproblem. Den fullstendige Azure ressursidentifikatoren er tilgjengelig i SentinelResourceID-kolonnen. |
| SentinelResourceType | Streng | Ressurstypen Microsoft Sentinel som overvåkes. Mulige verdier: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | Streng | En ressursklassifisering i ressurstypen. – For datakoblinger er dette typen tilkoblet datakilde. – For analyseregler er dette regeltypen. |
| RecordId | Streng | En unik identifikator for posten som kan deles med støtteteamet for bedre korrelasjon etter behov. |
| ExtendedProperties | Dynamisk (json) | En JSON-pose som varierer etter OperationName-verdien og statusen for hendelsen. Se utvidede egenskaper for mer informasjon. |
| Type | Streng | SentinelHealth |
Operasjonsnavn for ulike ressurstyper
| Ressurstyper | Operasjonsnavn | Statuser |
|---|---|---|
| Datainnsamling | Endring av status for datahenting __________________ Sammendrag av datahentingsfeil |
Suksess Feil _____________ Informativ |
| Automatiseringsregler | Kjøring av automatiseringsregel | Suksess Delvis vellykket Feil |
| Strategibøker | Strategiplanen ble utløst | Suksess Feil |
| Analyseregler | Planlagt analyseregelkjøring KJØRING av NRT-analyseregel |
Suksess Feil |
Utvidede egenskaper
Datakoblinger
For Data fetch status change hendelser med en suksessindikator inneholder posen en DestinationTable-egenskap som angir hvor data fra denne ressursen forventes å lande. For feil varierer innholdet avhengig av feiltypen.
Automatiseringsregler
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| ActionsTriggeredSuccessfully | Heltall | Antall handlinger automatiseringsregelen ble utløst. |
| Hendelsesnavn | Streng | Ressurs-ID-en for Microsoft Sentinel hendelse som regelen ble utløst på. |
| Hendelsesnummer | Streng | Sekvensnummeret til den Microsoft Sentinel hendelsen som vist i portalen. |
| TotalActions | Heltall | Antall handlinger som er konfigurert i denne automatiseringsregelen. |
| TriggeredOn | Streng |
Alert eller Incident. Objektet som regelen ble utløst på. |
| TriggeredPlaybooks | Dynamisk (json) | En liste over strategibøker som denne automatiseringsregelen utløste. Hver playbook-post i listen inneholder: - RunId: Kjøre-ID-en for denne utløsingen av Logic Apps-arbeidsflyten - WorkflowId: Den unike identifikatoren (full ARM-ressurs-ID) for arbeidsflytressursen for Logic Apps. |
| TriggeredWhen | Streng |
Created eller Updated. Angir om regelen ble utløst på grunn av oppretting eller oppdatering av en hendelse eller et varsel. |
Strategibøker
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| Hendelsesnavn | Streng | Ressurs-ID-en for Microsoft Sentinel hendelse som regelen ble utløst på. |
| Hendelsesnummer | Streng | Sekvensnummeret til den Microsoft Sentinel hendelsen som vist i portalen. |
| RunId | Streng | Kjøre-ID-en for denne utløsingen av Logic Apps-arbeidsflyten. |
| TriggeredByName | Dynamisk (json) | Informasjon om identiteten (brukeren eller programmet) som utløste strategiplanen. |
| TriggeredOn | Streng |
Incident. Objektet der strategiplanen ble utløst.(Strategibøker som bruker varselutløseren, logges bare hvis de kalles av automatiseringsregler, slik at disse strategiplanene vises i den utvidede egenskapen TriggeredPlaybooks under automatiseringsregelhendelser.) |
Analyseregler
Utvidede egenskaper for analyseregler gjenspeiler bestemte regelinnstillinger.
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| AggregationKind | Streng | Innstillingen for hendelsesgruppering.
AlertPerResult eller SingleAlert. |
| AlertsGeneratedAmount | Heltall | Antall varsler som genereres av denne kjøringen av regelen. |
| CorrelationId | Streng | Korrelasjons-ID-en for hendelsen i GUID-format. |
| EnheterDroppedDueToMappingIssuesAmount | Heltall | Antall enheter utelatt på grunn av tilordningsproblemer. |
| EntitiesGeneratedAmount | Heltall | Antall enheter som genereres av denne kjøringen av regelen. |
| Problemer | Streng | |
| QueryEndTimeUTC | Datetime | UTC-tiden spørringen begynte å kjøre. |
| QueryFrequency | Datetime | Verdien for innstillingen «Kjør spørring hver» (HH:MM:SS). |
| QueryPerformanceIndicators | Streng | |
| QueryPeriod | Datetime | Verdien for innstillingen «Oppslagsdata fra den siste» (HH:MM:SS). |
| QueryResultAmount | Heltall | Antall resultater som fanges opp av spørringen. Regelen genererer et varsel hvis dette tallet overskrider terskelen som definert nedenfor. |
| QueryStartTimeUTC | Datetime | UTC-tiden spørringen fullførte kjøringen. |
| RuleId | Streng | Regel-ID-en for denne analyseregelen. |
| SuppressionDuration | Tid | Varighet for regelundertrykking (HH:MM:SS). |
| SuppressionEnabled | Streng | Er regelundertrykking aktivert.
True/False. |
| TriggerOperator | Streng | Operatordelen av terskelen for resultater som kreves for å generere et varsel. |
| TriggerThreshold | Heltall | Talldelen av terskelen for resultater som kreves for å generere et varsel. |
| TriggerType | Streng | Regeltypen som utløses.
Scheduled eller NrtRun. |
Neste trinn
- Finn ut mer om overvåking og tilstandsovervåking i Microsoft Sentinel.
- Slå på overvåking og tilstandsovervåking i Microsoft Sentinel.
- Overvåk tilstanden til automatiseringsreglene og strategiplanene.
- Overvåk tilstanden til datakoblingene.
- Overvåk tilstanden og integriteten til analysereglene.
- Referanse for SentinelAudit-tabeller