Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs fälten i tabellen SentinelHealth som används för att övervaka hälsotillståndet för Microsoft Sentinel resurser. Med funktionen Microsoft Sentinel hälsoövervakning kan du hålla koll på hur siem fungerar korrekt och få information om eventuella hälsoavvikelser i din miljö.
Lär dig hur du frågar efter och använder hälsotabellen för djupare övervakning och synlighet av åtgärder i din miljö:
Microsoft Sentinel hälsoövervakningsfunktion omfattar olika typer av resurser (se resurstyperna i fältet SentinelResourceType i den första tabellen nedan). Många av datafälten i följande tabeller gäller för olika resurstyper, men vissa har specifika program för varje typ. Beskrivningarna nedan visar det ena eller det andra sättet.
Schema för SentinelHealth-tabellkolumner
I följande tabell beskrivs de kolumner och data som genereras i datatabellen SentinelHealth:
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| TenantId | Sträng | Klientorganisations-ID:t för din Microsoft Sentinel arbetsyta. |
| TimeGenerated | Datetime | Den tid (UTC) då hälsohändelsen inträffade. |
| OperationName | Sträng | Hälsoåtgärden. Möjliga värden beror på resurstypen. Mer information finns i Åtgärdsnamn för olika resurstyper . |
| SentinelResourceId | Sträng | Den unika identifieraren för resursen där hälsohändelsen inträffade och dess associerade Microsoft Sentinel arbetsyta. |
| SentinelResourceName | Sträng | Namnet på resursen (anslutningsapp, regel eller spelbok). |
| Status | Sträng | Anger det övergripande resultatet av åtgärden. Möjliga värden beror på åtgärdsnamnet. Mer information finns i Åtgärdsnamn för olika resurstyper . |
| Beskrivning | Sträng | Beskriver åtgärden, inklusive utökade data efter behov. För fel kan detta innehålla information om orsaken till felet. |
| Orsak | Enum | Visar en grundläggande orsak eller felkod för resursens fel. Möjliga värden beror på resurstypen. Mer detaljerade orsaker finns i fältet Beskrivning . |
| WorkspaceId | Sträng | Arbetsytans GUID som hälsoproblemet inträffade på. Den fullständiga Azure resursidentifieraren är tillgänglig i kolumnen SentinelResourceID. |
| SentinelResourceType | Sträng | Den Microsoft Sentinel resurstyp som övervakas. Möjliga värden: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Sträng | En resursklassificering inom resurstypen. – För dataanslutningar är det här typen av ansluten datakälla. – För analysregler är det här typen av regel. |
| Recordid | Sträng | En unik identifierare för posten som kan delas med supportteamet för bättre korrelation efter behov. |
| ExtendedProperties | Dynamisk (json) | En JSON-påse som varierar beroende på OperationName-värdet och händelsens status . Mer information finns i Utökade egenskaper . |
| Typ | Sträng | SentinelHealth |
Åtgärdsnamn för olika resurstyper
| Resurstyper | Åtgärdsnamn | Status |
|---|---|---|
| Datainsamlare | Statusändring för hämtning av data __________________ Sammanfattning av datahämtningsfel |
Klart Misslyckande _____________ Informativ |
| Automatiseringsregler | Automatiseringsregelkörning | Klart Delvis lyckad Misslyckande |
| Spelböcker | Spelboken utlöstes | Klart Misslyckande |
| Analysregler | Schemalagd analysregelkörning NRT-analysregelkörning |
Klart Misslyckande |
Utökade egenskaper
Datakopplingar
För Data fetch status change händelser med en framgångsindikator innehåller påsen egenskapen "DestinationTable" för att ange var data från den här resursen förväntas landa. Vid fel varierar innehållet beroende på feltyp.
Automatiseringsregler
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| ActionsTriggeredSuccessfully | Heltal | Antal åtgärder som automatiseringsregeln har utlöst. |
| IncidentName | Sträng | Resurs-ID:t för den Microsoft Sentinel incidenten som regeln utlöstes på. |
| IncidentNummer | Sträng | Det sekventiella numret för den Microsoft Sentinel incidenten som visas i portalen. |
| TotalActions | Heltal | Antal åtgärder som konfigurerats i den här automatiseringsregeln. |
| TriggeredOn | Sträng |
Alert eller Incident. Det objekt som regeln utlöstes på. |
| TriggeredPlaybooks | Dynamisk (json) | En lista över spelböcker som den här automatiseringsregeln utlöste. Varje spelbokspost i listan innehåller: - RunId: Körnings-ID för den här utlösaren av Logic Apps-arbetsflödet - WorkflowId: Den unika identifieraren (fullständigt ARM-resurs-ID) för Logic Apps-arbetsflödesresursen. |
| UtlösesNär | Sträng |
Created eller Updated. Anger om regeln utlöstes på grund av att en incident eller avisering skapades eller uppdaterades. |
Spelböcker
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| IncidentName | Sträng | Resurs-ID:t för den Microsoft Sentinel incidenten som regeln utlöstes på. |
| IncidentNummer | Sträng | Det sekventiella numret för den Microsoft Sentinel incidenten som visas i portalen. |
| RunId | Sträng | Körnings-ID för den här utlösaren av Logic Apps-arbetsflödet. |
| TriggeredByName | Dynamisk (json) | Information om den identitet (användare eller program) som utlöste spelboken. |
| TriggeredOn | Sträng |
Incident. Det objekt där spelboken utlöstes.(Spelböcker som använder aviseringsutlösaren loggas endast om de anropas av automatiseringsregler, så dessa spelbokskörningar visas i den utökade egenskapen TriggeredPlaybooks under automationsregelhändelser.) |
Analysregler
Utökade egenskaper för analysregler återspeglar vissa regelinställningar.
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| AggregationKind | Sträng | Inställningen för händelsegruppering.
AlertPerResult eller SingleAlert. |
| AlertsGeneratedAmount | Heltal | Antalet aviseringar som genereras av den här körningen av regeln. |
| CorrelationId | Sträng | Händelsekorrelations-ID i GUID-format. |
| EntitiesDroppedDueToMappingIssuesAmount | Heltal | Antalet entiteter som släppts på grund av mappningsproblem. |
| EntitiesGeneratedAmount | Heltal | Antalet entiteter som genereras av den här körningen av regeln. |
| Frågor | Sträng | |
| QueryEndTimeUTC | Datetime | UTC-tiden då frågan började köras. |
| QueryFrequency | Datetime | Värdet för inställningen "Kör fråga varje" (HH:MM:SS). |
| QueryPerformanceIndicators | Sträng | |
| QueryPeriod | Datetime | Värdet för inställningen "Uppslagsdata från den sista" (HH:MM:SS). |
| QueryResultAmount | Heltal | Antalet resultat som hämtats av frågan. Regeln genererar en avisering om det här antalet överskrider tröskelvärdet enligt definitionen nedan. |
| QueryStartTimeUTC | Datetime | UTC-tiden då frågan slutförde körningen. |
| RuleId | Sträng | Regel-ID för den här analysregeln. |
| SuppressionDuration | Tid | Varaktighet för regelundertryckning (HH:MM:SS). |
| SuppressionEnabled | Sträng | Är regelundertryckning aktiverat.
True/False. |
| TriggerOperator | Sträng | Operatordelen av tröskelvärdet för resultat som krävs för att generera en avisering. |
| TriggerThreshold | Heltal | Den antal del av tröskelvärdet för resultat som krävs för att generera en avisering. |
| TriggerType | Sträng | Den typ av regel som utlöses.
Scheduled eller NrtRun. |
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
- Övervaka hälsotillståndet för dina dataanslutningar.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Referens för SentinelAudit-tabeller