Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os campos na tabela SentinelHealth usados para monitorar a integridade dos recursos do Microsoft Sentinel. Com o recurso de monitoramento de integridade do Microsoft Sentinel, você pode acompanhar o funcionamento adequado do SIEM e obter informações sobre quaisquer descompassos de integridade em seu ambiente.
Saiba como consultar e usar a tabela de integridade para um monitoramento mais profundo e visibilidade das ações em seu ambiente:
O recurso de monitoramento de integridade do Microsoft Sentinel abrange diferentes tipos de recursos (consulte os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas tabelas a seguir se aplicam entre tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão de uma forma ou de outra.
Esquema de colunas da tabela SentinelHealth
A tabela a seguir descreve as colunas e os dados gerados na tabela de dados SentinelHealth:
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| ID do inquilino | String | A ID do locatário do workspace do Microsoft Sentinel. |
| TimeGenerated | Data e hora | A hora (UTC) em que o evento de integridade ocorreu. |
| OperationName | String | A operação de integridade. Os valores possíveis dependem do tipo de recurso. Consulte os nomes de operação para obter diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | String | O identificador exclusivo do recurso no qual o evento de integridade ocorreu e seu workspace associado do Microsoft Sentinel. |
| SentinelResourceName | String | O nome do recurso (conector, regra ou guia estratégico). |
| Estado | String | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Consulte os nomes de operação para obter diferentes tipos de recursos para obter detalhes. |
| Descrição | String | Descreve a operação, incluindo dados estendidos conforme necessário. Para falhas, isso pode incluir detalhes do motivo da falha. |
| Razão | Enum | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Podem ser encontrados motivos mais detalhados no campo Descrição . |
| WorkspaceId | String | O GUID do workspace no qual o problema de integridade ocorreu. O Identificador de Recurso do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel que está sendo monitorado. Valores possíveis: Data connector, , Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | String | Uma classificação de recurso dentro do tipo de recurso. - Para conectores de dados, esse é o tipo de fonte de dados conectada. - Para regras de análise, esse é o tipo de regra. |
| RecordId | String | Um identificador exclusivo para o registro que pode ser compartilhado com a equipe de suporte para melhor correlação, conforme necessário. |
| ExtendedProperties | Dinâmico (json) | Um saco JSON que varia de acordo com o valor OperationName e o Status do evento. Consulte as propriedades estendidas para obter detalhes. |
| Tipo | String | SentinelHealth |
Nomes de operação para diferentes tipos de recursos
| Tipos de recurso | Nomes de operação | Statuses |
|---|---|---|
| Coletores de dados | Alteração de status de busca de dados __________________ Resumo de falhas de busca de dados |
Êxito Failure _____________ Informational |
| Regras de automação | Execução de regra de automação | Êxito Êxito parcial Failure |
| Playbooks | O guia estratégico foi disparado | Êxito Failure |
| Regras de análise | Execução de regra de análise agendada Execução da regra de análise de NRT |
Êxito Failure |
Propriedades estendidas
Conectores de dados
Para Data fetch status change eventos com um indicador de êxito, o recipiente contém uma propriedade 'DestinationTable' para indicar onde os dados desse recurso devem chegar. Para falhas, o conteúdo varia dependendo do tipo de falha.
Regras de automação
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Número de ações que a regra de automação disparou com êxito. |
| IncidentName | String | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi disparada. |
| Número de Incidentes | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| TotalActions | Integer | Número de ações configuradas nessa regra de automação. |
| TriggeredOn | String |
Alert ou Incident. O objeto no qual a regra foi disparada. |
| TriggeredPlaybooks | Dinâmico (json) | Uma lista de guias estratégicos que essa regra de automação disparou com êxito. Cada registro de guia estratégico na lista contém: - RunId: A ID de execução para esse gatilho do fluxo de trabalho dos Aplicativos Lógicos - WorkflowId: O identificador exclusivo (ID de recurso do ARM completa) do recurso de fluxo de trabalho dos Aplicativos Lógicos. |
| TriggeredWhen | String |
Created ou Updated. Indica se a regra foi disparada devido à criação ou atualização de um incidente ou alerta. |
Playbooks
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| IncidentName | String | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi disparada. |
| Número de Incidentes | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| RunId | String | A ID de execução para esse gatilho do fluxo de trabalho dos Aplicativos Lógicos. |
| TriggeredByName | Dinâmico (json) | Informações sobre a identidade (usuário ou aplicativo) que disparou o guia estratégico. |
| TriggeredOn | String |
Incident. O objeto no qual o guia estratégico foi disparado.(Os guias estratégicos que usam o gatilho de alerta são registrados somente se forem chamados por regras de automação, portanto, essas execuções de guia estratégico aparecerão na propriedade estendida TriggeredPlaybooks em eventos de regra de automação.) |
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regra.
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| AggregationKind | String | A configuração de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Integer | O número de alertas gerados por essa execução da regra. |
| Identificação de correlação | String | A ID de correlação de evento no formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | O número de entidades caiu devido a problemas de mapeamento. |
| EntitiesGeneratedAmount | Integer | O número de entidades geradas por essa execução da regra. |
| Questões | String | |
| QueryEndTimeUTC | Data e hora | A hora UTC em que a consulta começou a ser executada. |
| QueryFrequency | Data e hora | Valor da configuração "Executar consulta a cada" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Data e hora | Valor da configuração "Pesquisar dados da última" (HH:MM:SS). |
| QueryResultAmount | Integer | O número de resultados capturados pela consulta. A regra gerará um alerta se esse número exceder o limite, conforme definido abaixo. |
| QueryStartTimeUTC | Data e hora | A hora UTC em que a consulta concluiu sua execução. |
| Regra | String | A ID da regra para essa regra de análise. |
| SuppressionDuration | Hora | A duração da supressão de regra (HH:MM:SS). |
| SuppressionEnabled | String | A supressão de regra está habilitada.
True/False. |
| TriggerOperator | String | A parte do operador do limite de resultados necessários para gerar um alerta. |
| TriggerThreshold | Integer | A parte do número do limite de resultados necessários para gerar um alerta. |
| Tipo de gatilho | String | O tipo de regra que está sendo disparada.
Scheduled ou NrtRun. |
Próximas etapas
- Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras de automação e guias estratégicos.
- Monitore a integridade dos conectores de dados.
- Monitore a integridade e a integridade de suas regras de análise.
- Referência de tabelas SentinelAudit