Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются поля в таблице SentinelHealth , используемой для мониторинга работоспособности ресурсов Microsoft Sentinel. С помощью функции мониторинга работоспособности Microsoft Sentinel вы можете следить за правильной работой SIEM и получать сведения о любых смещениях работоспособности в вашей среде.
Узнайте, как запрашивать и использовать таблицу работоспособности для более глубокого мониторинга и видимости действий в вашей среде:
- Для соединителей данных
- Правила автоматизации и сборники схем
- Правила аналитики
Функция мониторинга работоспособности Microsoft Sentinel охватывает различные виды ресурсов (см. типы ресурсов в поле SentinelResourceType в первой таблице ниже). Многие поля данных в следующих таблицах применяются к типам ресурсов, но некоторые имеют определенные приложения для каждого типа. Приведенные ниже описания указывают один или другой способ.
Схема столбцов таблицы SentinelHealth
В следующей таблице описаны столбцы и данные, созданные в таблице данных SentinelHealth:
| ColumnName | Тип столбца | Description |
|---|---|---|
| TenantId (Идентификатор клиента) | String | Идентификатор клиента для рабочей области Microsoft Sentinel. |
| TimeGenerated | Дата и время | Время (UTC), в течение которого произошло событие работоспособности. |
| OperationName | String | Операция работоспособности. Возможные значения зависят от типа ресурса. Дополнительные сведения см. в именах операций для различных типов ресурсов . |
| SentinelResourceId | String | Уникальный идентификатор ресурса, на котором произошло событие работоспособности, и связанная с ней рабочая область Microsoft Sentinel. |
| SentinelResourceName | String | Имя ресурса (соединитель, правило или сборник схем). |
| Статус | String | Указывает общий результат операции. Возможные значения зависят от имени операции. Дополнительные сведения см. в именах операций для различных типов ресурсов . |
| Описание | String | Описывает операцию, включая расширенные данные по мере необходимости. Для сбоев это может содержать сведения о причине сбоя. |
| Причина | Enum | Показывает основную причину или код ошибки для сбоя ресурса. Возможные значения зависят от типа ресурса. Более подробные причины можно найти в поле "Описание ". |
| WorkspaceId | String | GUID рабочей области, в которой возникла проблема со работоспособностью. Полный идентификатор ресурса Azure доступен в столбце SentinelResourceID . |
| SentinelResourceType | String | Отслеживаемый тип ресурса Microsoft Sentinel. Возможные значения: Data connector, , Automation rulePlaybookAnalytics rule |
| SentinelResourceKind | String | Классификация ресурсов в типе ресурса. — Для соединителей данных это тип подключенного источника данных. — Для правил аналитики это тип правила. |
| RecordId | String | Уникальный идентификатор записи, которую можно предоставить группе поддержки для улучшения корреляции по мере необходимости. |
| ExtendedProperties | Dynamic (json) | Пакет JSON, который зависит от значения OperationName и состояния события. Дополнительные сведения см. в расширенных свойствах . |
| Тип | String | SentinelHealth |
Имена операций для различных типов ресурсов
| Типы ресурсов | Имена операций | Statuses |
|---|---|---|
| Сборщики данных | Изменение состояния получения данных __________________ Сводка по сбою получения данных |
Success Failure _____________ Informational |
| Правила автоматизации | Запуск правила автоматизации | Success Частичный успех Failure |
| Сборники схем | Сборник схем был активирован | Success Failure |
| Правила аналитики | Запланированное выполнение правила аналитики Запуск правила аналитики NRT |
Success Failure |
Расширенные свойства
Соединители данных
Для Data fetch status change событий с индикатором успешности контейнер содержит свойство DestinationTable, указывающее, где данные из этого ресурса должны приземлиться. В случае сбоев содержимое зависит от типа сбоя.
Правила автоматизации
| ColumnName | Тип столбца | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Целое число | Количество действий, успешно активированных правилом автоматизации. |
| IncidentName | String | Идентификатор ресурса инцидента Microsoft Sentinel, в котором было активировано правило. |
| Число инцидентов | String | Последовательное число инцидента Microsoft Sentinel, как показано на портале. |
| TotalActions | Целое число | Количество действий, настроенных в этом правиле автоматизации. |
| TriggeredOn | String |
Alert или Incident. Объект, на котором было активировано правило. |
| Триггерные книгиPlaybook | Dynamic (json) | Список сборников схем, которые правило автоматизации активировало успешно. Каждая запись сборника схем в списке содержит: - RunId: Идентификатор выполнения для этого триггера рабочего процесса Logic Apps - WorkflowId: Уникальный идентификатор (полный идентификатор ресурса ARM) ресурса рабочего процесса Logic Apps. |
| TriggeredWhen | String |
Created или Updated. Указывает, активируется ли правило из-за создания или обновления инцидента или оповещения. |
Playbooks
| ColumnName | Тип столбца | Description |
|---|---|---|
| IncidentName | String | Идентификатор ресурса инцидента Microsoft Sentinel, в котором было активировано правило. |
| Число инцидентов | String | Последовательное число инцидента Microsoft Sentinel, как показано на портале. |
| RunId | String | Идентификатор выполнения для этого триггера рабочего процесса Logic Apps. |
| TriggeredByName | Dynamic (json) | Сведения об удостоверении (пользователя или приложении), активировав сборник схем. |
| TriggeredOn | String |
Incident. Объект, на котором был активирован сборник схем.(Сборники схем с помощью триггера генерации оповещений регистрируются только в том случае, если они вызываются правилами автоматизации, поэтому эти сборники схем будут отображаться в расширенном свойстве TriggeredPlaybooks в соответствии с событиями правила автоматизации.) |
Правила аналитики
Расширенные свойства для правил аналитики отражают определенные параметры правила.
| ColumnName | Тип столбца | Description |
|---|---|---|
| АгрегированиеKind | String | Параметр группировки событий.
AlertPerResult или SingleAlert. |
| AlertsGeneratedAmount | Целое число | Количество оповещений, создаваемых этим выполнением правила. |
| CorrelationId (Идентификатор корреляции) | String | Идентификатор корреляции событий в формате GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Целое число | Количество сущностей, отброшенных из-за проблем сопоставления. |
| EntitiesGeneratedAmount | Целое число | Количество сущностей, созданных этим выполнением правила. |
| Вопросы | String | |
| QueryEndTimeUTC | Дата и время | Время начала выполнения запроса в формате UTC. |
| QueryFrequency | Дата и время | Значение параметра "Выполнить каждый запрос" (HH:MM:SS). |
| QueryPerformanceIndicator | String | |
| QueryPeriod | Дата и время | Значение параметра "Поиск данных из последней" (HH:MM:SS). |
| QueryResultAmount | Целое число | Количество результатов, захваченных запросом. Правило создаст оповещение, если это число превышает пороговое значение, как определено ниже. |
| QueryStartTimeUTC | Дата и время | Время выполнения запроса в формате UTC. |
| Идентификатор правила | String | Идентификатор правила для этого правила аналитики. |
| ПодавлениеDuration | Time | Длительность подавления правил (HH:MM:SS). |
| ПодавлениеEnabled | String | Включено подавление правил.
True/False. |
| TriggerOperator | String | Часть оператора порогового значения результатов, необходимых для создания оповещения. |
| TriggerThreshold | Целое число | Число частей порогового значения результатов, необходимых для создания оповещения. |
| Тип триггера | String | Тип запускаемого правила.
Scheduled или NrtRun. |
Дальнейшие шаги
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Отслеживайте работоспособность и целостность правил аналитики.
- Справочник по таблицам SentinelAudit