Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de velden in de tabel SentinelHealth beschreven die worden gebruikt voor het bewaken van de status van Microsoft Sentinel-resources. Met de microsoft Sentinel-functie voor statuscontrole kunt u tabbladen houden over de juiste werking van uw SIEM en informatie krijgen over eventuele statusdriften in uw omgeving.
Meer informatie over het uitvoeren van query's en het gebruik van de statustabel voor meer controle en zichtbaarheid van acties in uw omgeving:
- Voor gegevensconnectors
- Voor automatiseringsregels en playbooks
- Voor analyseregels
De statuscontrolefunctie van Microsoft Sentinel omvat verschillende soorten resources (zie de resourcetypen in het veld SentinelResourceType in de eerste tabel hieronder). Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven een of meer manieren aan.
Schema voor sentinelHealth-tabelkolommen
In de volgende tabel worden de kolommen en gegevens beschreven die zijn gegenereerd in de gegevenstabel SentinelHealth:
| ColumnName | KolomType | Description |
|---|---|---|
| Huurder-id | String | De tenant-id voor uw Microsoft Sentinel-werkruimte. |
| TimeGenerated | Datum/tijd | De tijd (UTC) waarop de statusgebeurtenis heeft plaatsgevonden. |
| OperationName | String | De statusbewerking. Mogelijke waarden zijn afhankelijk van het resourcetype. Zie bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| SentinelResourceId | String | De unieke id van de resource waarop de statusgebeurtenis heeft plaatsgevonden en de bijbehorende Microsoft Sentinel-werkruimte. |
| SentinelResourceName | String | De naam van de resource (connector, regel of playbook). |
| Status | String | Geeft het algehele resultaat van de bewerking aan. Mogelijke waarden zijn afhankelijk van de naam van de bewerking. Zie bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| Beschrijving | String | Beschrijft de bewerking, inclusief uitgebreide gegevens, indien nodig. Voor fouten kan dit details bevatten van de reden van de fout. |
| Reden | Enum | Geeft een basisreden of foutcode weer voor de fout van de resource. Mogelijke waarden zijn afhankelijk van het resourcetype. Meer gedetailleerde redenen vindt u in het veld Beschrijving . |
| WorkspaceId | String | De werkruimte-GUID waarop het statusprobleem is opgetreden. De volledige Azure-resource-id is beschikbaar in de kolom SentinelResourceID . |
| SentinelResourceType | String | Het resourcetype Microsoft Sentinel dat wordt bewaakt. Mogelijke waarden: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | String | Een resourceclassificatie binnen het resourcetype. - Voor gegevensconnectors is dit het type verbonden gegevensbron. - Voor analyseregels is dit het type regel. |
| RecordId | String | Een unieke id voor de record die naar behoefte kan worden gedeeld met het ondersteuningsteam. |
| ExtendedProperties | Dynamisch (json) | Een JSON-zak die verschilt per OperationName-waarde en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Typ | String | SentinelHealth |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Bewerkingsnamen | Statussen |
|---|---|---|
| Gegevensverzamelaars | Statuswijziging voor het ophalen van gegevens __________________ Samenvatting van mislukte gegevens ophalen |
Success Failure _____________ Informational |
| Automatiseringsregels | Automatiseringsregel uitvoeren | Success Gedeeltelijk succes Failure |
| Playbooks | Playbook is geactiveerd | Success Failure |
| Analyseregels | Uitvoering van geplande analyseregel NRT-analyseregel uitvoeren |
Success Failure |
Uitgebreide eigenschappen
Gegevensconnectors
Voor Data fetch status change gebeurtenissen met een succesindicator bevat de zak een eigenschap DestinationTable om aan te geven waar gegevens van deze resource naar verwachting terechtkomen. Voor fouten is de inhoud afhankelijk van het fouttype.
Automatiseringsregels
| ColumnName | KolomType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Het aantal acties dat de automatiseringsregel heeft geactiveerd. |
| IncidentName | String | De resource-id van het Microsoft Sentinel-incident waarop de regel is geactiveerd. |
| IncidentNumber | String | Het opeenvolgende nummer van het Microsoft Sentinel-incident, zoals weergegeven in de portal. |
| TotalActions | Integer | Aantal acties dat is geconfigureerd in deze automatiseringsregel. |
| TriggeredOn | String |
Alert of Incident. Het object waarop de regel is geactiveerd. |
| TriggeredPlaybooks | Dynamisch (json) | Een lijst met playbooks die deze automatiseringsregel heeft geactiveerd. Elke playbookrecord in de lijst bevat: - RunId: De uitvoerings-id voor deze triggering van de Logic Apps-werkstroom - WorkflowId: De unieke id (volledige ARM-resource-id) van de Logic Apps-werkstroomresource. |
| TriggeredWhen | String |
Created of Updated. Geeft aan of de regel is geactiveerd vanwege het maken of bijwerken van een incident of waarschuwing. |
Playbooks
| ColumnName | KolomType | Description |
|---|---|---|
| IncidentName | String | De resource-id van het Microsoft Sentinel-incident waarop de regel is geactiveerd. |
| IncidentNumber | String | Het opeenvolgende nummer van het Microsoft Sentinel-incident, zoals weergegeven in de portal. |
| RunId | String | De uitvoerings-id voor deze triggering van de Logic Apps-werkstroom. |
| TriggeredByName | Dynamisch (json) | Informatie over de identiteit (gebruiker of toepassing) die het playbook heeft geactiveerd. |
| TriggeredOn | String |
Incident. Het object waarop het playbook is geactiveerd.(Playbooks die de waarschuwingstrigger gebruiken, worden alleen geregistreerd als ze worden aangeroepen door automatiseringsregels, zodat deze playbookuitvoeringen worden weergegeven in de uitgebreide eigenschap TriggeredPlaybooks onder automatiseringsregelgebeurtenissen.) |
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| ColumnName | KolomType | Description |
|---|---|---|
| AggregationKind | String | De instelling voor het groeperen van gebeurtenissen.
AlertPerResult of SingleAlert. |
| AlertsGeneratedAmount | Integer | Het aantal waarschuwingen dat door deze uitvoering van de regel wordt gegenereerd. |
| CorrelationId | String | De gebeurteniscorrelatie-id in GUID-indeling. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Het aantal entiteiten dat is verwijderd vanwege toewijzingsproblemen. |
| EntiteitenGeneratedAmount | Integer | Het aantal entiteiten dat door deze uitvoering van de regel wordt gegenereerd. |
| Kwesties | String | |
| QueryEndTimeUTC | Datum/tijd | De UTC-tijd waarop de query begon uit te voeren. |
| QueryFrequency | Datum/tijd | Waarde van de instelling 'Query uitvoeren op elke' (UU:MM:SS). |
| QueryPerformanceIndicatoren | String | |
| QueryPeriod | Datum/tijd | Waarde van de instelling "Lookup data from the last" (UU:MM:SS). |
| QueryResultAmount | Integer | Het aantal resultaten dat door de query is vastgelegd. De regel genereert een waarschuwing als dit aantal de drempelwaarde overschrijdt, zoals hieronder is gedefinieerd. |
| QueryStartTimeUTC | Datum/tijd | De UTC-tijd waarop de query de uitvoering heeft voltooid. |
| Regel-ID | String | De regel-id voor deze analyseregel. |
| Onderdrukkingsduration | Time | De regelonderdrukkingsduur (UU:MM:SS). |
| OnderdrukkingEnabled | String | Is onderdrukking van regels ingeschakeld.
True/False. |
| TriggerOperator | String | Het operatorgedeelte van de drempelwaarde voor resultaten die nodig zijn om een waarschuwing te genereren. |
| TriggerThreshold | Integer | Het nummergedeelte van de drempelwaarde voor resultaten die nodig zijn om een waarschuwing te genereren. |
| Trekker Type | String | Het type regel dat wordt geactiveerd.
Scheduled of NrtRun. |
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Naslaginformatie over SentinelAudit-tabellen