Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de velden in de tabel SentinelHealth beschreven die worden gebruikt voor het bewaken van de status van Microsoft Sentinel resources. Met de functie Microsoft Sentinel statusbewaking kunt u de juiste werking van uw SIEM in de gaten houden en informatie krijgen over eventuele afwijkingen in uw omgeving.
Meer informatie over het uitvoeren van query's en het gebruik van de statustabel voor een diepere bewaking en zichtbaarheid van acties in uw omgeving:
- Voor gegevensconnectors
- Voor automatiseringsregels en playbooks
- Voor analyseregels
de functie voor statuscontrole van Microsoft Sentinel heeft betrekking op verschillende soorten resources (zie de resourcetypen in het veld SentinelResourceType in de eerste tabel hieronder). Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven op de een of andere manier aan.
Tabelkolommenschema SentinelHealth
In de volgende tabel worden de kolommen en gegevens beschreven die worden gegenereerd in de gegevenstabel SentinelHealth:
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| TenantId | Tekenreeks | De tenant-id voor uw Microsoft Sentinel werkruimte. |
| TimeGenerated | Datetime | De tijd (UTC) waarop de statusgebeurtenis heeft plaatsgevonden. |
| OperationName | Tekenreeks | De statusbewerking. Mogelijke waarden zijn afhankelijk van het resourcetype. Zie Bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| SentinelResourceId | Tekenreeks | De unieke id van de resource waarop de statusgebeurtenis heeft plaatsgevonden en de bijbehorende Microsoft Sentinel werkruimte. |
| SentinelResourceName | Tekenreeks | De naam van de resource (connector, regel of playbook). |
| Status | Tekenreeks | Geeft het algehele resultaat van de bewerking aan. Mogelijke waarden zijn afhankelijk van de naam van de bewerking. Zie Bewerkingsnamen voor verschillende resourcetypen voor meer informatie. |
| Beschrijving | Tekenreeks | Beschrijft de bewerking, inclusief uitgebreide gegevens, indien nodig. Voor fouten kan dit details van de reden van de fout bevatten. |
| Reden | Enum | Toont een basisreden of foutcode voor de fout van de resource. Mogelijke waarden zijn afhankelijk van het resourcetype. Meer gedetailleerde redenen vindt u in het veld Beschrijving . |
| WorkspaceId | Tekenreeks | De guid van de werkruimte waarop het statusprobleem is opgetreden. De volledige Azure Resource-id is beschikbaar in de kolom SentinelResourceID. |
| SentinelResourceType | Tekenreeks | Het Microsoft Sentinel resourcetype dat wordt bewaakt. Mogelijke waarden: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Tekenreeks | Een resourceclassificatie binnen het resourcetype. - Voor gegevensconnectors is dit het type verbonden gegevensbron. - Voor analyseregels is dit het type regel. |
| Recordid | Tekenreeks | Een unieke id voor de record die kan worden gedeeld met het ondersteuningsteam voor een betere correlatie, indien nodig. |
| ExtendedProperties | Dynamisch (json) | Een JSON-zak die varieert op basis van de waarde van OperationName en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Type | Tekenreeks | SentinelHealth |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Bewerkingsnamen | Statussen |
|---|---|---|
| Gegevensverzamelaars | Statuswijziging van gegevens ophalen __________________ Overzicht van fouten bij het ophalen van gegevens |
Geslaagd Mislukking _____________ Informatief |
| Automatiseringsregels | Automation-regeluitvoering | Geslaagd Gedeeltelijk geslaagd Mislukking |
| Playbooks | Playbook is geactiveerd | Geslaagd Mislukking |
| Analyseregels | Geplande analyseregeluitvoering Nrt-analyseregel uitvoeren |
Geslaagd Mislukking |
Uitgebreide eigenschappen
Gegevensconnectors
Voor Data fetch status change gebeurtenissen met een geslaagde indicator bevat de bag de eigenschap DestinationTable om aan te geven waar gegevens van deze resource naar verwachting terechtkomen. Voor fouten varieert de inhoud, afhankelijk van het type fout.
Automatiseringsregels
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| ActionsTriggeredSuccessfully | Geheel getal | Het aantal acties dat door de automatiseringsregel is geactiveerd. |
| IncidentName | Tekenreeks | De resource-id van het Microsoft Sentinel-incident waarop de regel is geactiveerd. |
| IncidentNumber | Tekenreeks | Het sequentiële nummer van het Microsoft Sentinel incident zoals weergegeven in de portal. |
| TotalActions | Geheel getal | Aantal acties dat is geconfigureerd in deze automatiseringsregel. |
| TriggeredOn | Tekenreeks |
Alert of Incident. Het object waarvoor de regel is geactiveerd. |
| TriggeredPlaybooks | Dynamisch (json) | Een lijst met playbooks die door deze automatiseringsregel zijn geactiveerd. Elke playbook-record in de lijst bevat: - RunId: De uitvoerings-id voor deze triggering van de Logic Apps-werkstroom - WorkflowId: De unieke id (volledige ARM-resource-id) van de Logic Apps-werkstroomresource. |
| GeactiveerdWanneer | Tekenreeks |
Created of Updated. Geeft aan of de regel is geactiveerd vanwege het maken of bijwerken van een incident of waarschuwing. |
Playbooks
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| IncidentName | Tekenreeks | De resource-id van het Microsoft Sentinel-incident waarop de regel is geactiveerd. |
| IncidentNumber | Tekenreeks | Het sequentiële nummer van het Microsoft Sentinel incident zoals weergegeven in de portal. |
| RunId | Tekenreeks | De uitvoerings-id voor deze triggering van de Logic Apps-werkstroom. |
| TriggeredByName | Dynamisch (json) | Informatie over de identiteit (gebruiker of toepassing) die het playbook heeft geactiveerd. |
| TriggeredOn | Tekenreeks |
Incident. Het object waarop het playbook is geactiveerd.(Playbooks die de waarschuwingstrigger gebruiken, worden alleen geregistreerd als ze worden aangeroepen door automatiseringsregels, zodat deze playbook-uitvoeringen worden weergegeven in de uitgebreide eigenschap TriggeredPlaybooks onder automation-regelgebeurtenissen.) |
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| AggregationKind | Tekenreeks | De instelling voor gebeurtenisgroepering.
AlertPerResult of SingleAlert. |
| AlertsGeneratedAmount | Geheel getal | Het aantal waarschuwingen dat wordt gegenereerd door deze uitvoering van de regel. |
| CorrelationId | Tekenreeks | De gebeurteniscorrelatie-id in GUID-indeling. |
| EntiteitenDroppedDueToMappingIssuesAmount | Geheel getal | Het aantal entiteiten dat is verwijderd vanwege toewijzingsproblemen. |
| EntiteitenGeneratedAmount | Geheel getal | Het aantal entiteiten dat wordt gegenereerd door deze uitvoering van de regel. |
| Kwesties | Tekenreeks | |
| QueryEndTimeUTC | Datetime | De UTC-tijd waarop de query is gestart. |
| QueryFrequency | Datetime | Waarde van de instelling 'Query elke uitvoeren' (UU:MM:SS). |
| QueryPerformanceIndicators | Tekenreeks | |
| QueryPeriod | Datetime | Waarde van de instelling 'Lookup data from the last' (UU:MM:SS). |
| QueryResultamount | Geheel getal | Het aantal resultaten dat door de query is vastgelegd. De regel genereert een waarschuwing als dit aantal de drempelwaarde overschrijdt zoals hieronder is gedefinieerd. |
| QueryStartTimeUTC | Datetime | De UTC-tijd waarop de query is uitgevoerd. |
| RuleId | Tekenreeks | De regel-id voor deze analyseregel. |
| SuppressDuration | Tijd | De onderdrukkingsduur van de regel (UU:MM:SS). |
| SuppressionEnabled | Tekenreeks | Is regelonderdrukking ingeschakeld.
True/False. |
| TriggerOperator | Tekenreeks | Het operatorgedeelte van de drempelwaarde voor resultaten die vereist is om een waarschuwing te genereren. |
| TriggerThreshold | Geheel getal | Het aantal van de drempelwaarde voor resultaten dat is vereist om een waarschuwing te genereren. |
| TriggerType | Tekenreeks | Het type regel dat wordt geactiveerd.
Scheduled of NrtRun. |
Volgende stappen
- Meer informatie over controle en statusbewaking in Microsoft Sentinel.
- Schakel controle en statusbewaking in Microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Verwijzing naar SentinelAudit-tabellen