Microsoft Sentinel 健康情況資料表參考
本文說明用於監視 Microsoft Sentinel 資源健康情況的 SentinelHealth 資料表中的欄位。 您可以透過 Microsoft Sentinel 狀況監控功能來保留 SIEM 正常運作的索引標籤,並取得環境中任何健康情況漂移的相關資訊。
了解如何查詢及使用健康情況資料表,以更深入地監視及顯示環境中的動作:
重要
SentinelHealth 資料資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
Microsoft Sentinel 的健康情況監視功能涵蓋不同類型的資源, (請參閱下方第一個表格中 SentinelResourceType 欄位中的資源類型) 。 下表中的許多資料欄位會跨資源類型進行套用,但有些資料欄位針對每個類型會有特定的應用程式。 下列描述將指出一種方式或其中一個方式。
SentinelHealth 資料表資料行結構描述
下表描述 SentinelHealth 資料表中產生的資料行和資料:
| ColumnName | ColumnType | 描述 |
|---|---|---|
| TenantId | String | Microsoft Sentinel 工作區的租用戶識別碼。 |
| TimeGenerated | Datetime | 發生健康情況事件的時間 (UTC) 。 |
| OperationName | String | 健康情況作業。 可能的值取決於資源類型。 如需詳細資料,請參閱不同資源類型的作業名稱。 |
| SentinelResourceId | String | 資源 (當中發生健康情況事件) 的唯一識別碼,以及其相關的 Microsoft Sentinel 工作區。 |
| SentinelResourceName | String | 資源 (連接器、規則或劇本的名稱) 。 |
| 狀態 | String | 指出作業的整體結果。 可能的值取決於作業名稱。 如需詳細資料,請參閱不同資源類型的作業名稱。 |
| 說明 | String | 描述作業,包括視需要擴充的資料。 針對失敗,這可能包含失敗原因的詳細資料。 |
| 原因 | 列舉 | 顯示資源失敗的基本原因或錯誤碼。 可能的值取決於資源類型。 您可以在 [描述] 欄位中找到更詳細的原因。 |
| WorkspaceId | String | 發生健康情況問題的工作區 GUID。 在 SentinelResourceID 資料行中可用的完整 Azure 資源識別碼。 |
| SentinelResourceType | String | 要監視的 Microsoft Sentinel 資源類型。 可能的值: Data connector、Automation rule、Playbook、Analytics rule |
| SentinelResourceKind | String | 資源類型內的資源分類。 - 對於資料連線器,這是連線資料來源的類型。 - 針對分析規則,這是規則的類型。 |
| RecordId | String | 記錄的唯一識別碼,可視需要與支援小組共用,以取得更佳的相互關聯。 |
| ExtendedProperties | Dynamic (json) | 因 OperationName 值和事件狀態而異的 JSON 包。 如需詳細資料,請參閱擴充屬性。 |
| 型別 | String | SentinelHealth |
不同資源類型的作業名稱
| 資源類型 | 作業名稱 | 狀態 |
|---|---|---|
| 資料收集器 | 資料擷取狀態變更 __________________ 資料擷取失敗摘要 |
Success 失敗 _____________ 資訊 |
| 自動化規則 | 自動化規則執行 | Success 部分成功 失敗 |
| 劇本 | 已觸發劇本 | Success 失敗 |
| Analytics 規則 | 排程的分析規則執行 NRT 分析規則執行 |
Success 失敗 |
擴充屬性
資料連接器
對於具有成功指標的 Data fetch status change 事件,此包包含 ‘DestinationTable’ 屬性,以表示來自此資源的資料所預期登陸的位置。 針對失敗,內容會根據失敗型別而有所不同。
自動化規則
| ColumnName | ColumnType | 描述 |
|---|---|---|
| ActionsTriggeredSuccessfully | 整數 | 成功觸發自動化規則的動作數目。 |
| IncidentName | String | 觸發規則 Microsoft Sentinel 事件的資源識別碼。 |
| IncidentNumber | String | Microsoft Sentinel 事件的序號,如入口網站所示。 |
| TotalActions | 整數 | 在此自動化規則中設定的動作數目。 |
| TriggeredOn | String |
Alert 或 Incident。 觸發規則的物件。 |
| TriggeredPlaybooks | Dynamic (json) | 成功觸發此自動化規則的劇本清單。 清單中的每個劇本記錄都包含: - RunId:此 Logic Apps 工作流程觸發的執行識別碼 - WorkflowId:Logic Apps 工作流程資源的唯一識別碼 (完整 ARM 資源識別碼)。 |
| TriggeredWhen | String |
Created 或 Updated。 指出是否因為建立或更新事件或警示而觸發規則。 |
劇本
| ColumnName | ColumnType | 描述 |
|---|---|---|
| IncidentName | String | 觸發規則 Microsoft Sentinel 事件的資源識別碼。 |
| IncidentNumber | String | Microsoft Sentinel 事件的序號,如入口網站所示。 |
| RunId | String | 此 Logic Apps 工作流程觸發的執行識別碼。 |
| TriggeredByName | Dynamic (json) | 觸發劇本的身分識別 (使用者或應用程式) 相關資訊。 |
| TriggeredOn | String |
Incident. 觸發劇本的物件。(只有在自動化規則呼叫這些劇本時,才會記錄使用警示觸發程序的劇本,因此這些劇本執行會出現在自動化規則事件下的 TriggeredPlaybooks 擴充屬性中。) |
Analytics 規則
分析規則的擴充屬性會反映特定 規則設定。
| ColumnName | ColumnType | 描述 |
|---|---|---|
| AggregationKind | String | 事件群組設定。
AlertPerResult 或 SingleAlert。 |
| AlertsGeneratedAmount | 整數 | 此規則執行所產生的警示數目。 |
| CorrelationId | String | GUID 格式的事件相互關聯識別碼。 |
| EntitiesDroppedDueToMappingIssuesAmount | 整數 | 因為對應問題而捨棄的實體數目。 |
| EntitiesGeneratedAmount | 整數 | 此規則執行所產生的實體數目。 |
| 問題 | String | |
| QueryEndTimeUTC | Datetime | 查詢開始執行的 UTC 時間。 |
| QueryFrequency | Datetime | (HH:MM:SS) 的 [每次執行查詢] 設定值。 |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | HH:MM:SS) ([查閱資料] 設定的值。 |
| QueryResultAmount | 整數 | 查詢所擷取的結果數目。 如果此數目超過以下定義的臨界值,規則將會產生警示。 |
| QueryStartTimeUTC | Datetime | 查詢完成其執行的 UTC 時間。 |
| RuleId | String | 此分析規則的規則識別碼。 |
| SuppressionDuration | 時間 | 規則歸併持續時間 (HH:MM:SS) 。 |
| SuppressionEnabled | String | 是否啟用規則隱藏。
True/False. |
| TriggerOperator | String | 產生警示所需結果閾值的運算子部分。 |
| TriggerThreshold | 整數 | 產生警示所需的結果閾值部分。 |
| TriggerType | String | 要觸發的規則類型。
Scheduled 或 NrtRun。 |
下一步
- 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視。
- 監視自動化規則和劇本的健康情況。
- 監視資料連線器的健康情況。
- 監視分析規則的健康情況和完整性。
- SentinelAudit 資料表參考