Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan SentinelHealth-taulukon kentät, joita käytetään Microsoft Sentinel resurssien kunnon seurantaan. Microsoft Sentinel terveyden seurantaominaisuuden avulla voit pitää silmällä siem-laitteen asianmukaista toimintaa ja saada tietoa ympäristössäsi olevista terveysajejeista.
Lue, miten voit tehdä kyselyjä ja käyttää kuntotaulukkoa ympäristösi toimintojen perusteellisempaa seurantaa ja näkyvyyttä varten:
Microsoft Sentinel kunnonvalvontatoiminto kattaa erilaisia resursseja (katso alla olevan ensimmäisen taulukon SentinelResourceType-kentän resurssityypit). Monet seuraavien taulukoiden tietokentistä koskevat eri resurssityyppejä, mutta joissakin on tiettyjä sovelluksia kullekin tyypille. Alla olevat kuvaukset ilmaisevat keinon tai toisen.
SentinelHealth-taulukon sarakkeiden rakenne
Seuraavassa taulukossa kuvataan SentinelHealth-tietotaulukossa luodut sarakkeet ja tiedot:
| Sarakkeen nimi | ColumnType | Kuvaus |
|---|---|---|
| Vuokraajan tunnus | Merkkijono | Microsoft Sentinel työtilasi vuokraajatunnus. |
| TimeGenerated | Datetime | Aika (UTC), jolloin kuntotapahtuma ilmeni. |
| Toiminnon nimi | Merkkijono | Kuntotoiminto. Mahdolliset arvot riippuvat resurssityypistä. Lisätietoja on kohdassa Eri resurssityyppien toimintojen nimet . |
| SentinelResourceId | Merkkijono | Sen resurssin yksilöllinen tunnus, jossa kuntotapahtuma ilmeni, ja siihen liittyvä Microsoft Sentinel työtila. |
| SentinelResourceName | Merkkijono | Resurssin nimi (liitin, sääntö tai pelikirja). |
| Tila | Merkkijono | Ilmaisee toiminnon kokonaistuloksen. Mahdolliset arvot riippuvat toiminnon nimestä. Lisätietoja on kohdassa Eri resurssityyppien toimintojen nimet . |
| Kuvaus | Merkkijono | Kuvailee toiminnon, mukaan lukien laajennetut tiedot tarvittaessa. Virheiden kohdalla tämä voi sisältää lisätietoja virheen syystä. |
| Syy | Enum | Näyttää resurssin virheen perussyyn tai virhekoodin. Mahdolliset arvot riippuvat resurssityypistä. Tarkempia syitä on Kuvaus-kentässä . |
| WorkspaceId | Merkkijono | Työtilan GUID-tunnus, jossa kunto-ongelma ilmeni. Koko Azure resurssitunnus on käytettävissä SentinelResourceID-sarakkeessa. |
| SentinelResourceType | Merkkijono | Seurattava Microsoft Sentinel resurssityyppi. Mahdolliset arvot: Data connector, Automation rule, , Playbook, Analytics rule |
| SentinelResourceKind | Merkkijono | Resurssin luokitus resurssityypissä. - Tietoyhdistimien kohdalla tämä on yhdistetyn tietolähteen tyyppi. - Analytiikkasäännöissä tämä on säännön tyyppi. |
| Tietuetunnus | Merkkijono | Tietueen yksilöllinen tunnus, joka voidaan jakaa tukitiimin kanssa, jotta korrelaatiota voidaan parantaa tarpeen mukaan. |
| ExtendedProperties | Dynaaminen (json) | JSON-säilö, joka vaihtelee OperationName-arvon ja tapahtuman tilan mukaan. Lisätietoja on kohdassa Laajennetut ominaisuudet . |
| Tyyppi | Merkkijono | SentinelHealth |
Eri resurssityyppien toimintojen nimet
| Resurssityypit | Toimintojen nimet | Tilat |
|---|---|---|
| Tiedonkeruutyökalut | Tietojen nouon tilan muutos __________________ Tietojen noutovirheen yhteenveto |
Menestys Epäonnistuminen _____________ Tiedottava |
| Automaatiosäännöt | Automaatiosäännön suorittaminen | Menestys Osittainen onnistuminen Epäonnistuminen |
| Playbooks | Playbook käynnistyi | Menestys Epäonnistuminen |
| Analysointisäännöt | Ajoitetun analysoinnin säännön suorittaminen NRT-analytiikkasäännön suorittaminen |
Menestys Epäonnistuminen |
Laajennetut ominaisuudet
Tietoliittimet
Jos Data fetch status change kyseessä on tapahtuma, jossa on onnistumisilmaisin, säilö sisältää DestinationTable-ominaisuuden, joka ilmaisee, mihin tämän resurssin tietojen odotetaan laskeutuvan. Virheiden sisältö vaihtelee virhetyypin mukaan.
Automaatiosäännöt
| Sarakkeen nimi | ColumnType | Kuvaus |
|---|---|---|
| ActionsTriggeredSuccessfully | Kokonaisluku | Automaatiosäännön käynnistämien toimintojen määrä. |
| Tapahtuman nimi | Merkkijono | Sen Microsoft Sentinel tapahtuman resurssitunnus, jossa sääntö käynnistettiin. |
| Tapauksen numero | Merkkijono | Microsoft Sentinel tapahtuman järjestysnumero portaalissa esitetyllä tavalla. |
| TotalActions | Kokonaisluku | Tässä automaatiosäännössä määritettyjen toimintojen määrä. |
| Käynnistetty | Merkkijono |
Alert tai Incident. Objekti, jossa sääntö käynnistettiin. |
| Käynnistellyt pelikirjat | Dynaaminen (json) | Luettelo pelikirjoista, jotka tämä automaatiosääntö käynnisti onnistuneesti. Jokainen luettelon pelikirjatietue sisältää seuraavat: - RunId: Tämän Logic Apps -työnkulun käynnistimen suoritustunnus - WorkflowId: Logic Apps -työnkulkuresurssin yksilöllinen tunnus (täydellinen ARM-resurssitunnus). |
| KäynnistettyKun | Merkkijono |
Created tai Updated. Ilmaisee, käynnistettiinkö sääntö tapahtuman tai hälytyksen luomisen tai päivittämisen vuoksi. |
Playbooks
| Sarakkeen nimi | ColumnType | Kuvaus |
|---|---|---|
| Tapahtuman nimi | Merkkijono | Sen Microsoft Sentinel tapahtuman resurssitunnus, jossa sääntö käynnistettiin. |
| Tapauksen numero | Merkkijono | Microsoft Sentinel tapahtuman järjestysnumero portaalissa esitetyllä tavalla. |
| RunId | Merkkijono | Tämän Logic Apps -työnkulun käynnistimen suoritustunnus. |
| Käynnistinnimi | Dynaaminen (json) | Tietoa käyttäjätiedoista (käyttäjästä tai sovelluksesta), jotka käynnistivät toistokirjan. |
| Käynnistetty | Merkkijono |
Incident. Objekti, jossa pelikirja käynnistettiin.(Hälytyskäynnistintä käyttävät playbookit kirjataan vain, jos niitä kutsutaan automaatiosäännöillä, joten nämä playbook-suoritukset näkyvät TriggeredPlaybooks-laajennetussa ominaisuudessa automaatiosääntötapahtumien alla.) |
Analysointisäännöt
Analytiikkasääntöjen laajennetut ominaisuudet vastaavat tiettyjä sääntöasetuksia.
| Sarakkeen nimi | ColumnType | Kuvaus |
|---|---|---|
| Koostekind | Merkkijono | Tapahtuman ryhmittelyasetus.
AlertPerResult tai SingleAlert. |
| AlertsGeneratedAmount | Kokonaisluku | Tämän säännön suorituksen luomien ilmoitusten määrä. |
| Korrelaatiotunnus | Merkkijono | Tapahtuman korrelaatiotunnus GUID-muodossa. |
| EntitiesDroppedDueToMappingIssuesAmount | Kokonaisluku | Yhdistämisongelmien vuoksi hylättyjen entiteettien määrä. |
| EntiteetitGeneratedAmount | Kokonaisluku | Tämän säännön suorituksen luomien entiteettien määrä. |
| Kysymyksiä | Merkkijono | |
| QueryEndTimeUTC | Datetime | UTC-aika, jolloin kysely alkoi suorittaa. |
| Kyselynfrequency | Datetime | Suorita kysely joka -asetuksen arvo (HH:MM:SS). |
| QueryPerformanceIndicators | Merkkijono | |
| QueryPeriod | Datetime | "Hakutiedot viimeisestä" -asetuksen arvo (HH:MM:SS). |
| QueryResultAmount | Kokonaisluku | Kyselyn tallentamien tulosten määrä. Sääntö luo ilmoituksen, jos tämä luku ylittää alla määritetyn raja-arvon. |
| QueryStartTimeUTC | Datetime | UTC-aika, jolloin kysely suoritettiin. |
| RuleId | Merkkijono | Tämän analytiikkasäännön sääntötunnus. |
| Vaimennuksen kesto | Aika | Säännön eston kesto (HH:MM:SS). |
| SuppressionEnabled | Merkkijono | On otettu käyttöön sääntöjen estäminen.
True/False. |
| TriggerOperator | Merkkijono | Ilmoituksen luomisen edellyttämän tuloskynnysarvon operaattoriosa. |
| TriggerThreshold | Kokonaisluku | Ilmoituksen luomisen edellyttämän tuloskynnysarvon numero-osa. |
| Käynnistimen tyyppi | Merkkijono | Käynnistetään säännön tyyppi.
Scheduled tai NrtRun. |