Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives de felter i tabellen SentinelHealth, der bruges til at overvåge tilstanden af Microsoft Sentinel ressourcer. Med funktionen Microsoft Sentinel tilstandsovervågning kan du holde styr på, hvordan din SIEM fungerer korrekt, og få oplysninger om eventuelle tilstandsdrifter i dit miljø.
Få mere at vide om, hvordan du forespørger på og bruger tilstandstabellen til bedre overvågning og synlighed af handlinger i dit miljø:
Microsoft Sentinel tilstandsovervågningsfunktion dækker forskellige typer ressourcer (se ressourcetyperne i feltet SentinelResourceType i den første tabel nedenfor). Mange af datafelterne i følgende tabeller gælder på tværs af ressourcetyper, men nogle har specifikke programmer for hver type. Beskrivelserne nedenfor angiver den ene eller den anden måde.
Skema over kolonner i tabellen SentinelHealth
I følgende tabel beskrives de kolonner og data, der genereres i datatabellen SentinelHealth:
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| Lejer-id | String | Lejer-id'et for dit Microsoft Sentinel arbejdsområde. |
| Tid genereret | Datetime | Det tidspunkt (UTC), hvor tilstandshændelsen fandt sted. |
| Handlingsnavn | String | Tilstandshandlingen. De mulige værdier afhænger af ressourcetypen. Du kan finde flere oplysninger under Handlingsnavne for forskellige ressourcetyper . |
| SentinelResourceId | String | Det entydige id for den ressource, som tilstandshændelsen fandt sted på, og dens tilknyttede Microsoft Sentinel arbejdsområde. |
| SentinelResourceName | String | Navnet på ressourcen (connector, regel eller playbook). |
| Status | String | Angiver det overordnede resultat af handlingen. Mulige værdier afhænger af handlingsnavnet. Du kan finde flere oplysninger under Handlingsnavne for forskellige ressourcetyper . |
| Beskrivelse | String | Beskriver handlingen, herunder udvidede data efter behov. I forbindelse med fejl kan dette omfatte oplysninger om årsagen til fejlen. |
| Grund | Enum | Viser en grundlæggende årsag eller fejlkode for ressourcens fejl. De mulige værdier afhænger af ressourcetypen. Du kan finde mere detaljerede årsager i feltet Beskrivelse . |
| Arbejdsområde-id | String | Det arbejdsområde-GUID, hvor tilstandsproblemet opstod. Det fulde Azure ressource-id er tilgængeligt i kolonnen SentinelResourceID. |
| SentinelResourceType | String | Den Microsoft Sentinel ressourcetype, der overvåges. Mulige værdier: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | En ressourceklassificering inden for ressourcetypen. – For dataconnectors er dette typen af forbundet datakilde. – I forbindelse med analyseregler er dette typen af regel. |
| Recordid | String | Et entydigt id for posten, der kan deles med supportteamet for at opnå bedre korrelation efter behov. |
| Udvidedeegenskaber | Dynamisk (json) | En JSON-taske, der varierer afhængigt af værdien af OperationName og status for hændelsen. Se Udvidede egenskaber for at få flere oplysninger. |
| Type | String | SentinelHealth |
Handlingsnavne for forskellige ressourcetyper
| Ressourcetyper | Handlingsnavne | Statusser |
|---|---|---|
| Dataindsamlere | Statusændring for hentning af data __________________ Oversigt over fejl ved hentning af data |
Succes Fiasko _____________ Informative |
| Automatiseringsregler | Kørsel af automatiseringsregel | Succes Delvis udført Fiasko |
| Lærebøger | Playbook blev udløst | Succes Fiasko |
| Analyseregler | Kørsel af regel for planlagt analyse Kørsel af NRT-analyseregel |
Succes Fiasko |
Udvidede egenskaber
Dataconnectors
For Data fetch status change hændelser med en succesindikator indeholder posen egenskaben 'Destinationstabel' til at angive, hvor data fra denne ressource forventes at lande. I forbindelse med fejl varierer indholdet afhængigt af fejltypen.
Automatiseringsregler
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| Handlinger Udført afTriggeredSuccessfully | Heltal | Antal handlinger, som automatiseringsreglen udløste. |
| IncidentName | String | Ressource-id'et for den Microsoft Sentinel hændelse, som reglen blev udløst for. |
| IncidentNumber | String | Det sekventielle nummer på den Microsoft Sentinel hændelse, som vist på portalen. |
| TotalActions | Heltal | Antal handlinger, der er konfigureret i denne automatiseringsregel. |
| Udløst af | String |
Alert eller Incident. Det objekt, som reglen blev udløst for. |
| TriggeredPlaybooks | Dynamisk (json) | En liste over de playbooks, som denne automatiseringsregel udløste. Hver playbook-post på listen indeholder: - RunId: Kørsels-id'et for denne udløser af Logic Apps-arbejdsprocessen - Arbejdsproces-id: Det entydige id (fuldt ARM-ressource-id) for Logic Apps-arbejdsprocesressourcen. |
| Udløsthvor | String |
Created eller Updated. Angiver, om reglen blev udløst på grund af oprettelsen eller opdateringen af en hændelse eller besked. |
Lærebøger
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| IncidentName | String | Ressource-id'et for den Microsoft Sentinel hændelse, som reglen blev udløst for. |
| IncidentNumber | String | Det sekventielle nummer på den Microsoft Sentinel hændelse, som vist på portalen. |
| Kørsels-id | String | Kørsels-id'et for denne udløser af Logic Apps-arbejdsprocessen. |
| TriggeredByName | Dynamisk (json) | Oplysninger om den identitet (bruger eller program), der udløste playbook. |
| Udløst af | String |
Incident. Det objekt, som spillebogen blev udløst på.(Playbooks, der bruger beskedudløseren, logføres kun, hvis de kaldes af automatiseringsregler, så disse playbook-kørsler vises i den udvidede egenskab TriggeredPlaybooks under automatiske regelhændelser). |
Analyseregler
Udvidede egenskaber for analyseregler afspejler visse regelindstillinger.
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| AggregationKind | String | Indstillingen for hændelsesgruppering.
AlertPerResult eller SingleAlert. |
| AlertsGeneratedAmount | Heltal | Det antal beskeder, der genereres af denne kørsel af reglen. |
| Korrelations-id | String | Hændelseskorrelations-id'et i GUID-format. |
| EntitiesDroppedDueToMappingIssuesAmount | Heltal | Antallet af enheder, der blev droppet på grund af tilknytningsproblemer. |
| EntitiesGeneratedAmount | Heltal | Antallet af enheder, der genereres af denne kørsel af reglen. |
| Spørgsmål | String | |
| QueryEndTimeUTC | Datetime | UTC-tidspunktet, hvor forespørgslen begyndte at køre. |
| Forespørgselsfrequency | Datetime | Værdien af indstillingen "Kør forespørgsel hver" (TT:MM:SS). |
| Forespørgselsperformanceindikatorer | String | |
| Forespørgselsperiod | Datetime | Værdi for indstillingen "Opslagsdata fra den sidste" (HH:MM:SS). |
| QueryResultAmount | Heltal | Antallet af resultater, der registreres af forespørgslen. Reglen genererer en besked, hvis dette tal overskrider tærsklen som defineret nedenfor. |
| QueryStartTimeUTC | Datetime | UTC-tidspunktet, hvor forespørgslen fuldførte kørslen. |
| RuleId | String | Regel-id'et for denne analyseregel. |
| Undertrykkelsesvarighed | Tidspunkt | Reglens undertrykkelsesvarighed (HH:MM:SS). |
| SuppressionEnabled | String | Er regelundertrykkelse aktiveret.
True/False. |
| TriggerOperator | String | Operatordelen af tærsklen for resultater, der kræves for at generere en besked. |
| TriggerThreshold | Heltal | Den antal del af tærsklen for resultater, der kræves for at generere en besked. |
| Udløsertype | String | Den type regel, der udløses.
Scheduled eller NrtRun. |
Næste trin
- Få mere at vide om overvågning og overvågning af tilstand i Microsoft Sentinel.
- Slå overvågning og tilstandsovervågning til i Microsoft Sentinel.
- Overvåg tilstanden af dine automatiseringsregler og -playbooks.
- Overvåg tilstanden af dine dataconnectors.
- Overvåg tilstanden og integriteten af dine analyseregler.
- Reference til tabellerne SentinelAudit