Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los campos de la tabla SentinelHealth que se usan para supervisar el estado de los recursos de Microsoft Sentinel. Con la característica de supervisión de estado de Microsoft Sentinel, puede mantener las pestañas en el funcionamiento adecuado de su SIEM y obtener información sobre los desfases de estado de su entorno.
Obtenga información sobre cómo consultar y usar la tabla de estado para una supervisión y visibilidad más profundas de las acciones en su entorno:
- Para conectores de datos
- Para reglas de automatización y cuadernos de estrategias
- Para reglas de análisis
La característica de supervisión de estado de Microsoft Sentinel abarca diferentes tipos de recursos (consulte los tipos de recursos en el campo SentinelResourceType en la primera tabla siguiente). Muchos de los campos de datos de las tablas siguientes se aplican en los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de tabla SentinelHealth
En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelHealth:
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| TenantId | String | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Fecha y hora | Hora (UTC) a la que se produjo el evento de mantenimiento. |
| OperationName | String | La operación de mantenimiento. Los valores posibles dependen del tipo de recurso. Consulte Nombres de operación para distintos tipos de recursos para obtener más información. |
| SentinelResourceId | String | Identificador único del recurso en el que se produjo el evento de mantenimiento y su área de trabajo de Microsoft Sentinel asociada. |
| SentinelResourceName | String | Nombre del recurso (conector, regla o cuaderno de estrategias). |
| Estado | String | Indica el resultado general de la operación. Los valores posibles dependen del nombre de la operación. Consulte Nombres de operación para distintos tipos de recursos para obtener más información. |
| Descripción | String | Describe la operación, incluidos los datos extendidos según sea necesario. En el caso de los errores, esto puede incluir detalles del motivo del error. |
| Razón | Enum | Muestra un motivo básico o código de error para el error del recurso. Los valores posibles dependen del tipo de recurso. Los motivos más detallados se pueden encontrar en el campo Descripción . |
| WorkspaceId | String | GUID del área de trabajo en el que se produjo el problema de mantenimiento. El identificador completo de recursos de Azure está disponible en la columna SentinelResourceID . |
| SentinelResourceType | String | Tipo de recurso de Microsoft Sentinel que se está supervisando. Valores posibles: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Clasificación de recursos dentro del tipo de recurso. - Para los conectores de datos, este es el tipo de origen de datos conectado. - Para las reglas de análisis, este es el tipo de regla. |
| RecordId | String | Identificador único del registro que se puede compartir con el equipo de soporte técnico para mejorar la correlación según sea necesario. |
| ExtendedProperties | Dinámico (json) | Contenedor JSON que varía según el valor OperationName y el estado del evento. Consulte Propiedades extendidas para obtener más información. |
| Tipo | String | SentinelHealth |
Nombres de operación para distintos tipos de recursos
| Tipos de recursos | Nombres de operación | Statuses |
|---|---|---|
| Recopiladores de datos | Cambio de estado de captura de datos __________________ Resumen de errores de captura de datos |
Success Failure _____________ Informational |
| Reglas de automatización | Ejecución de reglas de automatización | Success Éxito parcial Failure |
| Guías | Se desencadenó el cuaderno de estrategias | Success Failure |
| Reglas de análisis | Ejecución de reglas de análisis programadas Ejecución de reglas de análisis de NRT |
Success Failure |
Propiedades extendidas
Conectores de datos
En Data fetch status change el caso de los eventos con un indicador de éxito, el contenedor contiene una propiedad "DestinationTable" para indicar dónde se espera que los datos de este recurso se coloquen. En el caso de los errores, el contenido varía en función del tipo de error.
Reglas de automatización
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Número de acciones que la regla de automatización se desencadenó correctamente. |
| IncidentName | String | Identificador de recurso del incidente de Microsoft Sentinel en el que se desencadenó la regla. |
| IncidentNumber | String | Número secuencial del incidente de Microsoft Sentinel, como se muestra en el portal. |
| TotalActions | Integer | Número de acciones configuradas en esta regla de automatización. |
| TriggeredOn | String |
Alert o Incident. Objeto en el que se desencadenó la regla. |
| DesencadenadosPlaybooks | Dinámico (json) | Una lista de cuadernos de estrategias que esta regla de automatización se desencadenó correctamente. Cada registro de cuaderno de estrategias de la lista contiene: - RunId: Identificador de ejecución para este desencadenador del flujo de trabajo de Logic Apps - WorkflowId: Identificador único (id. de recurso arm completo) del recurso de flujo de trabajo de Logic Apps. |
| TriggeredWhen | String |
Created o Updated. Indica si la regla se desencadenó debido a la creación o actualización de un incidente o alerta. |
Playbooks
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| IncidentName | String | Identificador de recurso del incidente de Microsoft Sentinel en el que se desencadenó la regla. |
| IncidentNumber | String | Número secuencial del incidente de Microsoft Sentinel, como se muestra en el portal. |
| RunId | String | Identificador de ejecución para este desencadenador del flujo de trabajo de Logic Apps. |
| TriggeredByName | Dinámico (json) | Información sobre la identidad (usuario o aplicación) que desencadenó el cuaderno de estrategias. |
| TriggeredOn | String |
Incident. Objeto en el que se desencadenó el cuaderno de estrategias.(Los cuadernos de estrategias que usan el desencadenador de alerta solo se registran si las reglas de automatización las llaman, por lo que esas ejecuciones de cuadernos de estrategias aparecerán en la propiedad extendida TriggerPlaybooks en eventos de regla de automatización). |
Reglas de análisis
Las propiedades extendidas para las reglas de análisis reflejan ciertas opciones de configuración de reglas.
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| AggregationKind | String | Configuración de agrupación de eventos.
AlertPerResult o SingleAlert. |
| AlertsGeneratedAmount | Integer | Número de alertas generadas por esta ejecución de la regla. |
| CorrelationId | String | Identificador de correlación de eventos en formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Número de entidades eliminadas debido a problemas de asignación. |
| EntitiesGeneratedAmount | Integer | Número de entidades generadas por esta ejecución de la regla. |
| Cuestiones | String | |
| QueryEndTimeUTC | Fecha y hora | Hora UTC a la que comenzó a ejecutarse la consulta. |
| QueryFrequency | Fecha y hora | Valor de la configuración "Ejecutar consulta cada" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Fecha y hora | Valor de la configuración "Buscar datos del último" (HH:MM:SS). |
| QueryResultAmount | Integer | Número de resultados capturados por la consulta. La regla generará una alerta si este número supera el umbral tal y como se define a continuación. |
| QueryStartTimeUTC | Fecha y hora | Hora UTC en la que la consulta completó su ejecución. |
| RuleId | String | Identificador de regla de esta regla de análisis. |
| SupresiónDuration | Time | Duración de la supresión de reglas (HH:MM:SS). |
| SupresiónEnabled | String | Está habilitada la supresión de reglas.
True/False. |
| TriggerOperator | String | Parte del operador del umbral de los resultados necesarios para generar una alerta. |
| TriggerThreshold | Integer | La parte del número del umbral de los resultados necesarios para generar una alerta. |
| Tipo de desencadenante | String | Tipo de regla que se desencadena.
Scheduled o NrtRun. |
Pasos siguientes
- Obtenga información sobre la auditoría y la supervisión del estado en Microsoft Sentinel.
- Active la auditoría y la supervisión de estado en Microsoft Sentinel.
- Supervise el estado de las reglas de automatización y los cuadernos de estrategias.
- Supervise el estado de los conectores de datos.
- Supervise el estado y la integridad de las reglas de análisis.
- Referencia de tablas SentinelAudit