Microsoft Sentinel 运行状况表参考
本文介绍 SentinelHealth 表中用于监视 Microsoft Sentinel 资源的运行状况的字段。 借助 Microsoft Sentinel 运行状况监视功能,你可以随时了解 SIEM 是否正常运行,并获取环境中有关所有运行状况偏差的信息。
了解如何查询和使用运行状况表,以便更深入地监视和查看环境中的操作:
- 对于数据连接器
重要
SentinelHealth 数据表目前仅提供预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 的运行状况监视功能涵盖不同种类的资源(请参阅下面的第一个表的“SentinelResourceType”字段中的资源类型)。 下表中的许多数据字段可用于各种资源类型,但部分数据字段针对每种资源类型都有特定的应用方式。 以下说明将指出其中一种方式。
SentinelHealth 表列架构
下表描述了 SentinelHealth 数据表中生成的列和数据:
| ColumnName | ColumnType | 说明 |
|---|---|---|
| TenantId | 字符串 | Microsoft Sentinel 工作区的租户 ID。 |
| TimeGenerated | datetime | 运行状况事件发生的时间 (UTC)。 |
| OperationName | 字符串 | 运行状况操作。 可能的值取决于资源类型。 有关详细信息,请参阅不同资源类型的操作名称。 |
| SentinelResourceId | 字符串 | 发生运行状况事件的资源的唯一标识符及其关联的 Microsoft Sentinel 工作区。 |
| SentinelResourceName | 字符串 | 资源(连接器、规则或 playbook)的名称。 |
| 状态 | 字符串 | 指示操作的总体结果。 可能的值取决于操作名称。 有关详细信息,请参阅不同资源类型的操作名称。 |
| 说明 | String | 描述操作,包括扩展数据(视需要)。 对于失败的情况,此处可能包括关于失败原因的详细信息。 |
| 原因 | 枚举 | 显示资源失败的基本原因或错误代码。 可能的值取决于资源类型。 可以在“说明”字段中找到更详细的原因。 |
| WorkspaceId | 字符串 | 发生运行状况问题的工作区 GUID。 完整的 Azure 资源标识符在 SentinelResourceID 列中可用。 |
| SentinelResourceType | 字符串 | 正被监视的 Microsoft Sentinel 资源类型。 可能的值: Data connector、Automation rule、Playbook、Analytics rule |
| SentinelResourceKind | String | 资源类型中的资源分类。 - 对于数据连接器,这就是连接的数据源的类型。 - 对于分析规则,这是规则的类型。 |
| RecordId | 字符串 | 可与支持团队共享的记录的唯一标识符,以便更好地建立联系(视需要)。 |
| ExtendedProperties | 动态 (json) | 随 OperationName 值和事件的状态而改变的 JSON 包。 有关详细信息,请参阅扩展属性。 |
| 类型 | String | SentinelHealth |
不同资源类型的操作名称
| 资源类型 | 操作名称 | 状态 |
|---|---|---|
| 数据收集器 | 数据提取状态更改 __________________ 数据提取失败摘要 |
成功 失败 _____________ 信息 |
扩展属性
数据连接器
对于具有成功标志的 Data fetch status change 事件,该包会包含一个“DestinationTable”属性,用于指示来自此资源中的数据预计到达哪里。 对于失败,内容因失败类型而异。
自动化规则
| ColumnName | ColumnType | 说明 |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | 自动化规则成功触发的操作数。 |
| IncidentName | 字符串 | 触发规则的 Microsoft Sentinel 事件的资源 ID。 |
| IncidentNumber | 字符串 | Microsoft Sentinel 事件的序列号,如门户中所示。 |
| TotalActions | Integer | 此自动化规则中配置的操作数。 |
| TriggeredOn | 字符串 | Alert 或 Incident。 触发了规则的对象。 |
| TriggeredPlaybooks | 动态 (json) | 成功触发此自动化规则的 playbook 列表。 列表中的每个 playbook 记录都包含: - RunId:此次触发的逻辑应用工作流的运行 ID - WorkflowId:逻辑应用工作流资源的唯一标识符(完整 ARM 资源 ID)。 |
| TriggeredWhen | 字符串 | Created 或 Updated。 指示规则是否是因为创建或更新了事件或警报而触发的。 |
攻略
| ColumnName | ColumnType | 说明 |
|---|---|---|
| IncidentName | 字符串 | 触发规则的 Microsoft Sentinel 事件的资源 ID。 |
| IncidentNumber | 字符串 | Microsoft Sentinel 事件的序列号,如门户中所示。 |
| RunId | 字符串 | 此次触发的逻辑应用工作流的运行 ID。 |
| TriggeredByName | 动态 (json) | 有关触发 playbook 的标识(用户或应用程序)的信息。 |
| TriggeredOn | 字符串 | Incident。 触发了 playbook 的对象。(仅当自动化规则调用 playbook 时,才会记录使用警报触发器的 Playbook,因此这些 playbook 运行将显示在自动化规则事件下的“TriggeredPlaybooks”扩展属性中。) |
分析规则
分析规则的扩展属性反映某些规则设置。
| ColumnName | ColumnType | 说明 |
|---|---|---|
| AggregationKind | 字符串 | 事件分组设置。 AlertPerResult 或 SingleAlert。 |
| AlertsGeneratedAmount | Integer | 此规则运行生成的警报数。 |
| CorrelationId | 字符串 | GUID 格式的事件相关 ID。 |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | 由于映射问题而删除的实体数。 |
| EntitiesGeneratedAmount | Integer | 此规则运行生成的实体数。 |
| 问题 | 字符串 | |
| QueryEndTimeUTC | Datetime | 查询开始运行的 UTC 时间。 |
| QueryFrequency | Datetime | “运行查询间隔”设置的值 (HH:MM:SS)。 |
| QueryPerformanceIndicators | 字符串 | |
| QueryPeriod | Datetime | “所查找数据来自过去”设置的值 (HH:MM:SS)。 |
| QueryResultAmount | Integer | 查询捕获的结果数。 如果此数字超过下面定义的阈值,规则将生成警报。 |
| QueryStartTimeUTC | Datetime | 查询完成其运行的 UTC 时间。 |
| RuleId | 字符串 | 此分析规则的规则 ID。 |
| SuppressionDuration | 时间 | 规则抑制持续时间 (HH:MM:SS)。 |
| SuppressionEnabled | 字符串 | 是否启用了规则抑制。 True/False。 |
| TriggerOperator | 字符串 | 生成警报所需的结果阈值的运算符部分。 |
| TriggerThreshold | Integer | 生成警报所需的结果阈值的数字部分。 |
| TriggerType | 字符串 | 正在触发的规则类型。 Scheduled 或 NrtRun。 |
后续步骤
- 了解 Microsoft Sentinel 中的审核和运行状况监视。
- 在 Microsoft Sentinel 中启用审核和运行状况监视。
- 监视数据连接器的运行状况。
- SentinelAudit 表参考