この記事では、Microsoft Sentinel リソースの正常性を監視するために使用される SentinelHealth テーブルのフィールドについて説明します。 Microsoft Sentinel正常性監視機能を使用すると、SIEM の適切な機能を監視し、環境内の正常性ドリフトに関する情報を取得できます。
正常性テーブルを照会して使用して、環境内のアクションをより詳細に監視および可視化する方法について説明します。
Microsoft Sentinelの正常性監視機能では、さまざまな種類のリソースについて説明します (下の最初の表の SentinelResourceType フィールドのリソースの種類を参照してください)。 次の表のデータ フィールドの多くは、リソースの種類にまたがって適用されますが、種類ごとに特定のアプリケーションを持つものもあります。 以下の説明は、どちらか一方の方法を示しています。
SentinelHealth テーブル列スキーマ
次の表では、SentinelHealth データ テーブルで生成された列とデータについて説明します。
| ColumnName | ColumnType | 説明 |
|---|---|---|
| TenantId | 文字列 | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | Datetime | 正常性イベントが発生した時刻 (UTC)。 |
| OperationName | 文字列 | 正常性操作。 使用可能な値は、リソースの種類によって異なります。 詳細については、「 さまざまなリソースの種類の操作名 」を参照してください。 |
| SentinelResourceId | 文字列 | 正常性イベントが発生したリソースとその関連するMicrosoft Sentinelワークスペースの一意識別子。 |
| SentinelResourceName | 文字列 | リソースの名前 (コネクタ、ルール、プレイブック)。 |
| ステータス | 文字列 | 操作の全体的な結果を示します。 使用可能な値は、操作名によって異なります。 詳細については、「 さまざまなリソースの種類の操作名 」を参照してください。 |
| 説明 | 文字列 | 必要に応じて拡張データを含む操作について説明します。 エラーの場合は、エラーの理由の詳細を含めることができます。 |
| 理由 | 列挙 | リソースの失敗に関する基本的な理由またはエラー コードを示します。 使用可能な値は、リソースの種類によって異なります。 詳細な理由については、「 説明 」フィールドを参照してください。 |
| WorkspaceId | 文字列 | 正常性の問題が発生したワークスペース GUID。 完全なAzureリソース識別子は、SentinelResourceID 列で使用できます。 |
| SentinelResourceType | 文字列 | 監視対象のMicrosoft Sentinelリソースの種類。 使用可能な値: Data connector、 Automation rule、 Playbook、 Analytics rule |
| SentinelResourceKind | 文字列 | リソースの種類内のリソース分類。 - データ コネクタの場合、これは接続されたデータ ソースの種類です。 - 分析ルールの場合、これはルールの種類です。 |
| RecordId | 文字列 | 必要に応じて相関関係を向上するためにサポート チームと共有できるレコードの一意識別子。 |
| ExtendedProperties | 動的 (json) |
OperationName 値とイベントの状態によって異なる JSON バッグ。 詳細については、「 拡張プロパティ 」を参照してください。 |
| Type | 文字列 | SentinelHealth |
さまざまなリソースの種類の操作名
| リソースの種類 | 操作名 | ステータス |
|---|---|---|
| データ コレクター | データ フェッチの状態の変更 __________________ データフェッチエラーの概要 |
成功 失敗 _____________ 情報 |
| 自動化ルール | オートメーション ルールの実行 | 成功 部分的な成功 失敗 |
| プレイブック | プレイブックがトリガーされました | 成功 失敗 |
| 分析ルール | スケジュールされた分析ルールの実行 NRT 分析ルールの実行 |
成功 失敗 |
拡張プロパティ
データ コネクタ
成功インジケーターを持つ Data fetch status change イベントの場合、バッグには "DestinationTable" プロパティが含まれています。このリソースのデータがどこに到達すると予想されているかを示します。 エラーの場合、エラーの種類によって内容が異なります。
自動化ルール
| ColumnName | ColumnType | 説明 |
|---|---|---|
| ActionsTriggeredSuccessfully | 整数 | 自動化ルールが正常にトリガーしたアクションの数。 |
| IncidentName | 文字列 | ルールがトリガーされたMicrosoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | 文字列 | ポータルに示すように、Microsoft Sentinel インシデントのシーケンシャル番号。 |
| TotalActions | 整数 | この自動化ルールで構成されたアクションの数。 |
| TriggeredOn | 文字列 |
Alert または Incident。 ルールがトリガーされたオブジェクト。 |
| TriggeredPlaybooks | 動的 (json) | この自動化ルールが正常にトリガーされたプレイブックの一覧。 リスト内の各プレイブック レコードには、次のものが含まれます。 - RunId: Logic Apps ワークフローのこのトリガーの実行 ID - WorkflowId: Logic Apps ワークフロー リソースの一意識別子 (完全な ARM リソース ID)。 |
| TriggeredWhen | 文字列 |
Created または Updated。 インシデントまたはアラートの作成または更新によってルールがトリガーされたかどうかを示します。 |
プレイブック
| ColumnName | ColumnType | 説明 |
|---|---|---|
| IncidentName | 文字列 | ルールがトリガーされたMicrosoft Sentinel インシデントのリソース ID。 |
| IncidentNumber | 文字列 | ポータルに示すように、Microsoft Sentinel インシデントのシーケンシャル番号。 |
| RunId | 文字列 | Logic Apps ワークフローのこのトリガーの実行 ID。 |
| TriggeredByName | 動的 (json) | プレイブックをトリガーした ID (ユーザーまたはアプリケーション) に関する情報。 |
| TriggeredOn | 文字列 |
Incident. プレイブックがトリガーされたオブジェクト。(アラート トリガーを使用するプレイブックは、オートメーション ルールによって呼び出された場合にのみログに記録されるため、これらのプレイブックの実行は、オートメーション ルール イベントの TriggeredPlaybooks 拡張プロパティに表示されます)。 |
分析ルール
分析ルールの拡張プロパティには、特定の ルール設定が反映されます。
| ColumnName | ColumnType | 説明 |
|---|---|---|
| AggregationKind | 文字列 | イベントのグループ化設定。
AlertPerResult または SingleAlert。 |
| AlertsGeneratedAmount | 整数 | このルールの実行によって生成されるアラートの数。 |
| Correlationid | 文字列 | GUID 形式のイベント相関 ID。 |
| EntitiesDroppedDueToMappingIssuesAmount | 整数 | マッピングの問題が原因で削除されたエンティティの数。 |
| EntitiesGeneratedAmount | 整数 | ルールのこの実行によって生成されるエンティティの数。 |
| 問題 | 文字列 | |
| QueryEndTimeUTC | Datetime | クエリの実行を開始した UTC 時刻。 |
| QueryFrequency | Datetime | [クエリの実行間隔] 設定 (HH:MM:SS) の値。 |
| QueryPerformanceIndicators | 文字列 | |
| QueryPeriod | Datetime | [最後のデータからの参照] 設定 (HH:MM:SS) の値。 |
| QueryResultAmount | 整数 | クエリによってキャプチャされた結果の数。 この数が以下に定義されているしきい値を超えると、ルールによってアラートが生成されます。 |
| QueryStartTimeUTC | Datetime | クエリの実行が完了した UTC 時刻。 |
| RuleId | 文字列 | この分析ルールのルール ID。 |
| SuppressionDuration | Time | ルール抑制期間 (HH:MM:SS)。 |
| SuppressionEnabled | 文字列 | ルール抑制が有効になっています。
True/False. |
| TriggerOperator | 文字列 | アラートの生成に必要な結果のしきい値の演算子部分。 |
| TriggerThreshold | 整数 | アラートの生成に必要な結果のしきい値の数部分。 |
| TriggerType | 文字列 | トリガーされるルールの種類。
Scheduled または NrtRun。 |
次の手順
- Microsoft Sentinelでの監査と正常性の監視について説明します。
- Microsoft Sentinelで監査と正常性の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- SentinelAudit テーブルリファレンス