Microsoft Sentinel 运行状况表参考

本文介绍 SentinelHealth 表中用于监视 Microsoft Sentinel 资源的运行状况的字段。 借助 Microsoft Sentinel 运行状况监视功能,你可以随时了解 SIEM 是否正常运行,并获取环境中有关所有运行状况偏差的信息。

了解如何查询和使用运行状况表,以便更深入地监视和查看环境中的操作:

重要

SentinelHealth 数据表目前仅提供预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 的运行状况监视功能涵盖不同种类的资源(请参阅下面的第一个表的“SentinelResourceType”字段中的资源类型)。 下表中的许多数据字段可用于各种资源类型,但部分数据字段针对每种资源类型都有特定的应用方式。 以下说明将指出其中一种方式。

SentinelHealth 表列架构

下表描述了 SentinelHealth 数据表中生成的列和数据:

ColumnName ColumnType 说明
TenantId 字符串 Microsoft Sentinel 工作区的租户 ID。
TimeGenerated datetime 运行状况事件发生的时间 (UTC)。
OperationName 字符串 运行状况操作。 可能的值取决于资源类型。
有关详细信息,请参阅不同资源类型的操作名称
SentinelResourceId 字符串 发生运行状况事件的资源的唯一标识符及其关联的 Microsoft Sentinel 工作区。
SentinelResourceName 字符串 资源(连接器、规则或 playbook)的名称。
状态 字符串 指示操作的总体结果。 可能的值取决于操作名称。
有关详细信息,请参阅不同资源类型的操作名称
说明 String 描述操作,包括扩展数据(视需要)。 对于失败的情况,此处可能包括关于失败原因的详细信息。
原因 枚举 显示资源失败的基本原因或错误代码。 可能的值取决于资源类型。 可以在“说明”字段中找到更详细的原因。
WorkspaceId 字符串 发生运行状况问题的工作区 GUID。 完整的 Azure 资源标识符在 SentinelResourceID 列中可用。
SentinelResourceType 字符串 正被监视的 Microsoft Sentinel 资源类型。
可能的值:Data connectorAutomation rulePlaybookAnalytics rule
SentinelResourceKind String 资源类型中的资源分类。
- 对于数据连接器,这就是连接的数据源的类型。
- 对于分析规则,这是规则的类型。
RecordId 字符串 可与支持团队共享的记录的唯一标识符,以便更好地建立联系(视需要)。
ExtendedProperties 动态 (json) OperationName 值和事件的状态而改变的 JSON 包。
有关详细信息,请参阅扩展属性
类型 String SentinelHealth

不同资源类型的操作名称

资源类型 操作名称 状态
数据收集器 数据提取状态更改

__________________
数据提取失败摘要
成功
失败
_____________
信息

扩展属性

数据连接器

对于具有成功标志的 Data fetch status change 事件,该包会包含一个“DestinationTable”属性,用于指示来自此资源中的数据预计到达哪里。 对于失败,内容因失败类型而异。

自动化规则

ColumnName ColumnType 说明
ActionsTriggeredSuccessfully Integer 自动化规则成功触发的操作数。
IncidentName 字符串 触发规则的 Microsoft Sentinel 事件的资源 ID。
IncidentNumber 字符串 Microsoft Sentinel 事件的序列号,如门户中所示。
TotalActions Integer 此自动化规则中配置的操作数。
TriggeredOn 字符串 AlertIncident。 触发了规则的对象。
TriggeredPlaybooks 动态 (json) 成功触发此自动化规则的 playbook 列表。

列表中的每个 playbook 记录都包含:
- RunId:此次触发的逻辑应用工作流的运行 ID
- WorkflowId:逻辑应用工作流资源的唯一标识符(完整 ARM 资源 ID)。
TriggeredWhen 字符串 CreatedUpdated。 指示规则是否是因为创建或更新了事件或警报而触发的。

攻略

ColumnName ColumnType 说明
IncidentName 字符串 触发规则的 Microsoft Sentinel 事件的资源 ID。
IncidentNumber 字符串 Microsoft Sentinel 事件的序列号,如门户中所示。
RunId 字符串 此次触发的逻辑应用工作流的运行 ID。
TriggeredByName 动态 (json) 有关触发 playbook 的标识(用户或应用程序)的信息。
TriggeredOn 字符串 Incident。 触发了 playbook 的对象。
(仅当自动化规则调用 playbook 时,才会记录使用警报触发器的 Playbook,因此这些 playbook 运行将显示在自动化规则事件下的“TriggeredPlaybooks”扩展属性中。)

分析规则

分析规则的扩展属性反映某些规则设置

ColumnName ColumnType 说明
AggregationKind 字符串 事件分组设置。 AlertPerResultSingleAlert
AlertsGeneratedAmount Integer 此规则运行生成的警报数。
CorrelationId 字符串 GUID 格式的事件相关 ID。
EntitiesDroppedDueToMappingIssuesAmount Integer 由于映射问题而删除的实体数。
EntitiesGeneratedAmount Integer 此规则运行生成的实体数。
问题 字符串
QueryEndTimeUTC Datetime 查询开始运行的 UTC 时间。
QueryFrequency Datetime “运行查询间隔”设置的值 (HH:MM:SS)。
QueryPerformanceIndicators 字符串
QueryPeriod Datetime “所查找数据来自过去”设置的值 (HH:MM:SS)。
QueryResultAmount Integer 查询捕获的结果数。
如果此数字超过下面定义的阈值,规则将生成警报。
QueryStartTimeUTC Datetime 查询完成其运行的 UTC 时间。
RuleId 字符串 此分析规则的规则 ID。
SuppressionDuration 时间 规则抑制持续时间 (HH:MM:SS)。
SuppressionEnabled 字符串 是否启用了规则抑制。 True/False
TriggerOperator 字符串 生成警报所需的结果阈值的运算符部分。
TriggerThreshold Integer 生成警报所需的结果阈值的数字部分。
TriggerType 字符串 正在触发的规则类型。 ScheduledNrtRun

后续步骤