Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les champs de la table SentinelHealth utilisée pour surveiller l’intégrité des ressources Microsoft Sentinel. Avec la fonctionnalité de supervision de l’intégrité de Microsoft Sentinel, vous pouvez conserver des onglets sur le bon fonctionnement de votre SIEM et obtenir des informations sur les dérives d’intégrité de votre environnement.
Découvrez comment interroger et utiliser la table d’intégrité pour une surveillance et une visibilité plus approfondies des actions dans votre environnement :
- Pour les connecteurs de données
- Pour les règles d’automatisation et les playbooks
- Pour les règles d’analyse
La fonctionnalité de surveillance de l’intégrité de Microsoft Sentinel couvre différents types de ressources (consultez les types de ressources dans le champ SentinelResourceType dans le premier tableau ci-dessous). La plupart des champs de données des tableaux suivants s’appliquent aux types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent une façon ou l’autre.
Schéma des colonnes de table SentinelHealth
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelHealth :
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| TenantId | Chaîne | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Date et Heure | Heure (UTC) à laquelle l’événement d’intégrité s’est produit. |
| OperationName | Chaîne | Opération d’intégrité. Les valeurs possibles dépendent du type de ressource. Pour plus d’informations, consultez les noms des opérations pour différents types de ressources . |
| SentinelResourceId | Chaîne | Identificateur unique de la ressource sur laquelle l’événement d’intégrité s’est produit et son espace de travail Microsoft Sentinel associé. |
| SentinelResourceName | Chaîne | Nom de la ressource (connecteur, règle ou playbook). |
| Statut | Chaîne | Indique le résultat global de l’opération. Les valeurs possibles dépendent du nom de l’opération. Pour plus d’informations, consultez les noms des opérations pour différents types de ressources . |
| Description | Chaîne | Décrit l’opération, y compris les données étendues en fonction des besoins. Pour les échecs, cela peut inclure des détails sur la raison de l’échec. |
| Raison | Enum | Affiche une raison ou un code d’erreur de base pour l’échec de la ressource. Les valeurs possibles dépendent du type de ressource. Vous trouverez des raisons plus détaillées dans le champ Description . |
| WorkspaceId | Chaîne | GUID de l’espace de travail sur lequel le problème d’intégrité s’est produit. L’identificateur de ressource Azure complet est disponible dans la colonne SentinelResourceID . |
| SentinelResourceType | Chaîne | Type de ressource Microsoft Sentinel surveillé. Valeurs possibles : Data connector, , PlaybookAutomation rule,Analytics rule |
| SentinelResourceKind | Chaîne | Classification des ressources au sein du type de ressource. - Pour les connecteurs de données, il s’agit du type de source de données connectée. - Pour les règles d’analyse, il s’agit du type de règle. |
| RecordId | Chaîne | Identificateur unique de l’enregistrement qui peut être partagé avec l’équipe de support technique pour une meilleure corrélation si nécessaire. |
| ExtendedProperties | Dynamique (json) | Conteneur JSON qui varie selon la valeur OperationName et l’état de l’événement. Pour plus d’informations, consultez les propriétés étendues . |
| Type | Chaîne | SentinelHealth |
Noms des opérations pour différents types de ressources
| Types de ressource | Noms des opérations | Statuses |
|---|---|---|
| Collecteurs de données | Modification de l’état d’extraction de données __________________ Résumé des échecs d’extraction de données |
Success Failure _____________ Informational |
| Règles d’automatisation | Exécution de la règle Automation | Success Réussite partielle Failure |
| Playbooks | Playbook a été déclenché | Success Failure |
| Règles d’analyse | Exécution de la règle d’analytique planifiée Exécution de la règle d’analytique NRT |
Success Failure |
Propriétés étendues
Connecteurs de données
Pour Data fetch status change les événements avec un indicateur de réussite, le conteneur contient une propriété « DestinationTable » pour indiquer où les données de cette ressource sont censées atterrir. Pour les échecs, le contenu varie en fonction du type d’échec.
Règles d’automatisation
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| ActionsTriggeredSuccessfully | Nombre entier | Nombre d’actions déclenchées par la règle d’automatisation. |
| IncidentName | Chaîne | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| Numéro d’incident | Chaîne | Numéro séquentiel de l’incident Microsoft Sentinel, comme indiqué dans le portail. |
| TotalActions | Nombre entier | Nombre d’actions configurées dans cette règle d’automatisation. |
| TriggeredOn | Chaîne |
Alert ou Incident. Objet sur lequel la règle a été déclenchée. |
| TriggeredPlaybooks | Dynamique (json) | Liste des playbooks déclenchés par cette règle d’automatisation. Chaque enregistrement de playbook dans la liste contient : - RunId : ID d’exécution pour ce déclenchement du flux de travail Logic Apps - WorkflowId : Identificateur unique (ID de ressource ARM complet) de la ressource de flux de travail Logic Apps. |
| TriggeredWhen | Chaîne |
Created ou Updated. Indique si la règle a été déclenchée en raison de la création ou de la mise à jour d’un incident ou d’une alerte. |
Playbooks
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| IncidentName | Chaîne | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| Numéro d’incident | Chaîne | Numéro séquentiel de l’incident Microsoft Sentinel, comme indiqué dans le portail. |
| RunId | Chaîne | ID d’exécution de ce déclencheur du flux de travail Logic Apps. |
| TriggeredByName | Dynamique (json) | Informations sur l’identité (utilisateur ou application) qui a déclenché le playbook. |
| TriggeredOn | Chaîne |
Incident. Objet sur lequel le playbook a été déclenché.(Les playbooks utilisant le déclencheur d’alerte sont enregistrés uniquement s’ils sont appelés par des règles d’automatisation, de sorte que ces exécutions de playbooks s’affichent dans la propriété étendue TriggeredPlaybooks sous les événements de règle d’automatisation.) |
Règles d’analyse
Les propriétés étendues pour les règles d’analytique reflètent certains paramètres de règle.
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| AggregationKind | Chaîne | Paramètre de regroupement d’événements.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Nombre entier | Nombre d’alertes générées par cette exécution de la règle. |
| CorrelationId | Chaîne | ID de corrélation d’événement au format GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Nombre entier | Nombre d’entités supprimées en raison de problèmes de mappage. |
| EntitiesGeneratedAmount | Nombre entier | Nombre d’entités générées par cet exécution de la règle. |
| Questions | Chaîne | |
| QueryEndTimeUTC | Date et Heure | Heure UTC à laquelle la requête a commencé à s’exécuter. |
| QueryFrequency | Date et Heure | Valeur du paramètre « Exécuter chaque requête » (HH :MM :SS). |
| QueryPerformanceIndicators | Chaîne | |
| QueryPeriod | Date et Heure | Valeur du paramètre « Rechercher des données à partir du dernier » (HH :MM :SS). |
| QueryResultAmount | Nombre entier | Nombre de résultats capturés par la requête. La règle génère une alerte si ce nombre dépasse le seuil défini ci-dessous. |
| QueryStartTimeUTC | Date et Heure | Heure UTC de l’exécution de la requête. |
| RuleId (en anglais) | Chaîne | ID de règle pour cette règle d’analyse. |
| SuppressionDuration | Heure | Durée de suppression de règle (HH :MM :SS). |
| SuppressionEnabled | Chaîne | Suppression de règle activée.
True/False. |
| TriggerOperator | Chaîne | Partie opérateur du seuil des résultats requis pour générer une alerte. |
| TriggerThreshold | Nombre entier | Partie nombre du seuil des résultats requis pour générer une alerte. |
| Type de déclencheur | Chaîne | Type de règle déclenchée.
Scheduled ou NrtRun. |
Étapes suivantes
- Découvrez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et de vos playbooks.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité et l’intégrité de vos règles d’analyse.
- Informations de référence sur les tables SentinelAudit