A Microsoft Sentinel állapottábláinak referenciája
Ez a cikk a Microsoft Sentinel-erőforrások állapotának figyelésére használt SentinelHealth tábla mezőit ismerteti. A Microsoft Sentinel állapotmonitorozási funkciójával nyomon követheti a SIEM megfelelő működését, és információkat kaphat a környezet állapotsodródásáról.
Megtudhatja, hogyan kérdezheti le és használhatja az állapottáblát a környezet műveleteinek mélyebb monitorozásához és láthatóságához:
Fontos
A SentinelHealth adattábla jelenleg ELŐZETES VERZIÓban érhető el. A Microsoft Azure előzetes verziójának kiegészítő használati feltételei című cikkben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel állapotmonitorozási funkciója különböző típusú erőforrásokat fed le (lásd az erőforrástípusokat az alábbi első táblázat SentinelResourceType mezőjében). Az alábbi táblázatokban szereplő adatmezők közül sok az erőforrástípusokra vonatkozik, de néhány típushoz külön alkalmazás tartozik. Az alábbi leírások az egyiket vagy a másikat jelölik.
SentinelHealth táblaoszlopok sémája
Az alábbi táblázat a SentinelHealth adattáblában létrehozott oszlopokat és adatokat ismerteti:
| ColumnName | ColumnType | Leírás |
|---|---|---|
| TenantId | Sztring | A Microsoft Sentinel-munkaterület bérlőazonosítója. |
| TimeGenerated | Datetime | Az az időpont (UTC), amikor az állapotesemény történt. |
| OperationName | Sztring | Az állapotművelet. A lehetséges értékek az erőforrás típusától függenek. További részletekért tekintse meg a különböző erőforrástípusok műveletnevét . |
| SentinelResourceId | Sztring | Annak az erőforrásnak az egyedi azonosítója, amelyen az állapotesemény történt, valamint a hozzá tartozó Microsoft Sentinel-munkaterület. |
| SentinelResourceName | Sztring | Az erőforrás neve (összekötő, szabály vagy forgatókönyv). |
| Állapot | Sztring | A művelet teljes eredményét jelzi. A lehetséges értékek a művelet nevétől függnek. További részletekért tekintse meg a különböző erőforrástípusok műveletnevét . |
| Leírás | Sztring | Ismerteti a műveletet, beleértve a szükséges bővített adatokat is. Hibák esetén ez a hiba okának részleteit is tartalmazhatja. |
| Ok | Enumeráció | Az erőforrás meghibásodásának alapvető okát vagy hibakódját jeleníti meg. A lehetséges értékek az erőforrás típusától függenek. Részletesebb okok a Leírás mezőben találhatók. |
| WorkspaceId | Sztring | A munkaterület GUID azonosítója, amelyen az állapotbeli probléma történt. A teljes Azure-erőforrás-azonosító elérhető a SentinelResourceID oszlopban. |
| SentinelResourceType | Sztring | A figyelt Microsoft Sentinel-erőforrástípus. Lehetséges értékek: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | Sztring | Erőforrás-besorolás az erőforrástípuson belül. – Adatösszekötők esetében ez a csatlakoztatott adatforrás típusa. – Az elemzési szabályok esetében ez a szabály típusa. |
| Rekordazonosító | Sztring | A rekord egyedi azonosítója, amely megosztható a támogatási csapattal a jobb korreláció érdekében. |
| ExtendedProperties | Dinamikus (json) | Egy JSON-táska, amely az OperationName értéktől és az esemény állapotától függően változik. További részletekért lásd: Bővített tulajdonságok . |
| Típus | Sztring | SentinelHealth |
Műveletnevek különböző erőforrástípusokhoz
| Erőforrástípusok | Műveletnevek | Állapotok |
|---|---|---|
| Adatgyűjtők | Adatlehívás állapotának módosítása __________________ Adatlehívási hibák összegzése |
Siker Hiba _____________ Tájékoztató |
| Automatizálási szabályok | Automation-szabály futtatása | Siker Részleges siker Hiba |
| Forgatókönyvek | A forgatókönyv aktiválva lett | Siker Hiba |
| Elemzési szabályok | Ütemezett elemzési szabály futtatása NRT-elemzési szabály futtatása |
Siker Hiba |
Bővített tulajdonságok
Adatösszekötők
Sikerességi mutatóval rendelkező események esetén Data fetch status change a zsák tartalmaz egy "DestinationTable" tulajdonságot, amely jelzi, hogy az erőforrásból származó adatok hol fognak landni. Hibák esetén a tartalom a hiba típusától függően változik.
Automatizálási szabályok
| ColumnName | ColumnType | Leírás |
|---|---|---|
| ActionsTriggeredSuccessfully | Egész szám | Az automatizálási szabály által sikeresen aktivált műveletek száma. |
| IncidentName | Sztring | Annak a Microsoft Sentinel-incidensnek az erőforrás-azonosítója, amelyen a szabály aktiválódott. |
| IncidentNumber | Sztring | A Microsoft Sentinel-incidens szekvenciális száma a portálon látható módon. |
| TotalActions | Egész szám | Az automatizálási szabályban konfigurált műveletek száma. |
| TriggerOn | Sztring |
Alert vagy Incident. Az az objektum, amelyen a szabály aktiválódott. |
| TriggeredPlaybooks | Dinamikus (json) | Az automatizálási szabály által sikeresen aktivált forgatókönyvek listája. A listában szereplő minden forgatókönyvrekord a következőket tartalmazza: - Futtató azonosító: A Logic Apps-munkafolyamat aktiválásának futtatási azonosítója - Munkafolyamat-azonosító: A Logic Apps munkafolyamat-erőforrás egyedi azonosítója (teljes ARM-erőforrás-azonosító). |
| AktiváltWhen | Sztring |
Created vagy Updated. Azt jelzi, hogy a szabály egy incidens vagy riasztás létrehozása vagy frissítése miatt lett-e aktiválva. |
Forgatókönyvek
| ColumnName | ColumnType | Leírás |
|---|---|---|
| IncidentName | Sztring | Annak a Microsoft Sentinel-incidensnek az erőforrás-azonosítója, amelyen a szabály aktiválódott. |
| IncidentNumber | Sztring | A Microsoft Sentinel-incidens szekvenciális száma a portálon látható módon. |
| Futtatási azonosító | Sztring | A Logic Apps-munkafolyamat aktiválásának futtatási azonosítója. |
| TriggeredByName | Dinamikus (json) | A forgatókönyvet aktiváló identitással (felhasználóval vagy alkalmazással) kapcsolatos információk. |
| TriggerOn | Sztring |
Incident. Az objektum, amelyen a forgatókönyv aktiválódott.(A riasztási eseményindítót használó forgatókönyveket csak akkor naplózza a rendszer, ha automatizálási szabályok hívják őket, így ezek a forgatókönyv-futtatások az Automation-szabályesemények TriggerPlaybooks bővített tulajdonságában jelennek meg.) |
Elemzési szabályok
Az elemzési szabályok kiterjesztett tulajdonságai bizonyos szabálybeállításokat tükröznek.
| ColumnName | ColumnType | Leírás |
|---|---|---|
| AggregationKind | Sztring | Az eseménycsoportozási beállítás.
AlertPerResult vagy SingleAlert. |
| RiasztásokGeneratedAmount | Egész szám | A szabály futtatásával létrehozott riasztások száma. |
| Korrelációs azonosító | Sztring | Az esemény korrelációs azonosítója GUID formátumban. |
| EntitiesDroppedDueToMappingIssuesAmount | Egész szám | A leképezési problémák miatt elvetett entitások száma. |
| EntitiesGeneratedAmount | Egész szám | A szabály futtatásával létrehozott entitások száma. |
| Problémák | Sztring | |
| QueryEndTimeUTC | Datetime | A lekérdezés futásának UTC-időpontja. |
| QueryFrequency | Datetime | A "Minden lekérdezés futtatása" beállítás értéke (HH:MM:SS). |
| QueryPerformanceIndicators | Sztring | |
| QueryPeriod | Datetime | A "Keresési adatok az utolsóból" beállítás értéke (HH:MM:SS). |
| QueryResultAmount | Egész szám | A lekérdezés által rögzített eredmények száma. A szabály riasztást hoz létre, ha ez a szám meghaladja az alább meghatározott küszöbértéket. |
| QueryStartTimeUTC | Datetime | A lekérdezés futtatásának UTC-időpontja. |
| Szabályazonosító | Sztring | Az elemzési szabály szabályazonosítója. |
| SuppressionDuration | Idő | A szabályelnyomás időtartama (HH:MM:SS). |
| SuppressionEnabled | Sztring | Engedélyezve van a szabályelnyomás.
True/False. |
| TriggerOperator | Sztring | A riasztás létrehozásához szükséges eredmény küszöbértékének operátori része. |
| TriggerThreshold | Egész szám | A riasztás létrehozásához szükséges eredmények küszöbértékének számrésze. |
| Eseményindító típusa | Sztring | Az aktivált szabály típusa.
Scheduled vagy NrtRun. |
Következő lépések
- Tudnivalók a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
- Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
- Monitorozza az automatizálási szabályok és forgatókönyvek állapotát.
- Monitorozza az adatösszekötők állapotát.
- Monitorozza az elemzési szabályok állapotát és integritását.
- SentinelAudit-táblák referenciája