Referens för Hälsotabeller för Microsoft Sentinel
Den här artikeln beskriver fälten i tabellen SentinelHealth som används för att övervaka hälsotillståndet för Microsoft Sentinel-resurser. Med hälsoövervakningsfunktionen i Microsoft Sentinel kan du hålla koll på hur SIEM fungerar korrekt och få information om eventuella hälsoavvikelser i din miljö.
Lär dig hur du frågar och använder hälsotabellen för djupare övervakning och synlighet av åtgärder i din miljö:
Viktigt
Datatabellen SentinelHealth finns för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinels hälsoövervakningsfunktion omfattar olika typer av resurser (se resurstyperna i fältet SentinelResourceType i den första tabellen nedan). Många av datafälten i följande tabeller gäller för olika resurstyper, men vissa har specifika program för varje typ. Beskrivningarna nedan visar det ena eller det andra sättet.
Schema för SentinelHealth-tabellkolumner
I följande tabell beskrivs de kolumner och data som genereras i datatabellen SentinelHealth:
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| TenantId | Sträng | Klientorganisations-ID:t för din Microsoft Sentinel-arbetsyta. |
| TimeGenerated | Datumtid | Den tid (UTC) då hälsohändelsen inträffade. |
| OperationName | Sträng | Hälsoåtgärden. Möjliga värden beror på resurstypen. Mer information finns i Åtgärdsnamn för olika resurstyper . |
| SentinelResourceId | Sträng | Den unika identifieraren för resursen där hälsohändelsen inträffade och dess associerade Microsoft Sentinel-arbetsyta. |
| SentinelResourceName | Sträng | Namnet på resursen (anslutningsapp, regel eller spelbok). |
| Status | Sträng | Anger det övergripande resultatet av åtgärden. Möjliga värden beror på åtgärdsnamnet. Mer information finns i Åtgärdsnamn för olika resurstyper . |
| Beskrivning | Sträng | Beskriver åtgärden, inklusive utökade data efter behov. För fel kan detta innehålla information om orsaken till felet. |
| Anledning | Enum | Visar en grundläggande orsak eller felkod för resursens fel. Möjliga värden beror på resurstypen. Mer detaljerade skäl finns i fältet Beskrivning . |
| WorkspaceId | Sträng | Det GUID för arbetsytan som hälsoproblemet inträffade på. Den fullständiga Azure-resursidentifieraren är tillgänglig i kolumnen SentinelResourceID . |
| SentinelResourceType | Sträng | Den Microsoft Sentinel-resurstyp som övervakas. Möjliga värden: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Sträng | En resursklassificering inom resurstypen. – För dataanslutningsprogram är det här typen av ansluten datakälla. – För analysregler är det här typen av regel. |
| RecordId | Sträng | En unik identifierare för posten som kan delas med supportteamet för bättre korrelation efter behov. |
| ExtendedProperties | Dynamisk (json) | En JSON-väska som varierar beroende på värdet OperationName och händelsens status . Mer information finns i Utökade egenskaper . |
| Typ | Sträng | SentinelHealth |
Åtgärdsnamn för olika resurstyper
| Resurstyper | Åtgärdsnamn | Status |
|---|---|---|
| Datainsamlare | Statusändring för datahämtning __________________ Sammanfattning av datahämtningsfel |
Klart Fel _____________ Information |
| Automatiseringsregler | Körning av automationsregel | Klart Delvis lyckad Fel |
| Spelböcker | Spelboken utlöstes | Klart Fel |
| Analysregler | Schemalagd analysregelkörning REGELkörning för NRT-analys |
Klart Fel |
Utökade egenskaper
Dataanslutningar
För Data fetch status change händelser med en framgångsindikator innehåller påsen egenskapen DestinationTable för att ange var data från den här resursen förväntas landa. Vid fel varierar innehållet beroende på feltypen.
Automatiseringsregler
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Antal åtgärder som automatiseringsregeln har utlöst. |
| IncidentName | Sträng | Resurs-ID för Den Microsoft Sentinel-incident där regeln utlöstes. |
| IncidentNumber | Sträng | Det sekventiella numret för Microsoft Sentinel-incidenten enligt det som visas i portalen. |
| TotalActions | Integer | Antal åtgärder som konfigurerats i den här automatiseringsregeln. |
| TriggeredOn | Sträng | Alert eller Incident. Objektet som regeln utlöstes på. |
| TriggeredPlaybooks | Dynamisk (json) | En lista över spelböcker som den här automatiseringsregeln utlöste. Varje spelbokspost i listan innehåller: - RunId: Körnings-ID:t för den här utlösaren av Logic Apps-arbetsflödet - WorkflowId: Den unika identifieraren (fullständigt ARM-resurs-ID) för Logic Apps-arbetsflödesresursen. |
| UtlösesNär | Sträng | Created eller Updated. Anger om regeln utlöstes på grund av att en incident eller avisering skapades eller uppdaterades. |
Spelböcker
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| IncidentName | Sträng | Resurs-ID för Den Microsoft Sentinel-incident där regeln utlöstes. |
| IncidentNumber | Sträng | Det sekventiella numret för Microsoft Sentinel-incidenten enligt det som visas i portalen. |
| RunId | Sträng | Körnings-ID:t för den här utlösaren av Logic Apps-arbetsflödet. |
| TriggeredByName | Dynamisk (json) | Information om den identitet (användare eller program) som utlöste spelboken. |
| TriggeredOn | Sträng | Incident. Det objekt där spelboken utlöstes.(Spelböcker som använder aviseringsutlösaren loggas endast om de anropas av automatiseringsregler, så dessa spelbokskörningar visas i egenskapen TriggeredPlaybooks extended under automationsregelhändelser.) |
Analysregler
Utökade egenskaper för analysregler återspeglar vissa regelinställningar.
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| AggregationKind | Sträng | Inställningen för händelsegruppering. AlertPerResult eller SingleAlert. |
| AlertsGeneratedAmount | Integer | Antalet aviseringar som genereras av den här körningen av regeln. |
| CorrelationId | Sträng | Händelsekorrelations-ID i GUID-format. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Antalet entiteter som släppts på grund av mappningsproblem. |
| EntitiesGeneratedAmount | Integer | Antalet entiteter som genereras av den här körningen av regeln. |
| Problem | Sträng | |
| QueryEndTimeUTC | Datumtid | UTC-tiden då frågan började köras. |
| QueryFrequency | Datumtid | Värdet för inställningen "Kör frågan var" (HH:MM:SS). |
| QueryPerformanceIndicators | Sträng | |
| QueryPeriod | Datumtid | Värdet för inställningen "Uppslagsdata från den sista" (HH:MM:SS). |
| QueryResultAmount | Integer | Antalet resultat som samlas in av frågan. Regeln genererar en avisering om det här antalet överskrider tröskelvärdet enligt definitionen nedan. |
| QueryStartTimeUTC | Datumtid | UTC-tiden då frågan slutförde körningen. |
| RuleId | Sträng | Regel-ID för den här analysregeln. |
| SuppressionDuration | Tid | Varaktighet för regelundertryckning (HH:MM:SS). |
| SuppressionEnabled | Sträng | Är regelundertryckning aktiverat. True/False. |
| TriggerOperator | Sträng | Operatordelen av tröskelvärdet för resultat som krävs för att generera en avisering. |
| TriggerThreshold | Integer | Antal del av tröskelvärdet för resultat som krävs för att generera en avisering. |
| TriggerType | Sträng | Den typ av regel som utlöses. Scheduled eller NrtRun. |
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
- Övervaka hälsotillståndet för dina dataanslutningar.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Referens för SentinelAudit-tabeller