Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os campos na tabela SentinelHealth usados para monitorar a integridade dos recursos do Microsoft Sentinel. Com o recurso de monitoramento de integridade do Microsoft Sentinel, você pode acompanhar o funcionamento adequado do seu SIEM e obter informações sobre quaisquer desvios de integridade em seu ambiente.
Saiba como consultar e usar a tabela de integridade para um monitoramento mais profundo e visibilidade das ações em seu ambiente:
- Para conectores de dados
- Para regras de automação e playbooks
- Para regras de análise
O recurso de monitoramento de integridade do Microsoft Sentinel abrange diferentes tipos de recursos (consulte os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas tabelas a seguir se aplicam a tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão um caminho ou outro.
Esquema de colunas da tabela SentinelHealth
A tabela a seguir descreve as colunas e os dados gerados na tabela de dados do SentinelHealth:
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| Identificação do locatário | Cordão | A ID do locatário para seu espaço de trabalho do Microsoft Sentinel. |
| Gerado por tempo | Data e hora | A hora (UTC) em que o evento de saúde ocorreu. |
| Nome da operação | Cordão | A operação de saúde. Os valores possíveis dependem do tipo de recurso. Consulte Nomes de operação para diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | Cordão | O identificador exclusivo do recurso no qual o evento de integridade ocorreu e seu espaço de trabalho associado do Microsoft Sentinel. |
| SentinelResourceName | Cordão | O nome do recurso (conector, regra ou playbook). |
| Situação | Cordão | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Consulte Nomes de operação para diferentes tipos de recursos para obter detalhes. |
| Descrição | Cordão | Descreve a operação, incluindo dados estendidos conforme necessário. Para falhas, isso pode incluir detalhes do motivo da falha. |
| Justificação | Enum | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Razões mais detalhadas podem ser encontradas no campo Descrição . |
| WorkspaceId | Cordão | O GUID do espaço de trabalho no qual ocorreu o problema de integridade. O Identificador de Recursos do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | Cordão | O tipo de recurso Microsoft Sentinel que está sendo monitorado. Valores possíveis: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | Cordão | Uma classificação de recurso dentro do tipo de recurso. - Para conectores de dados, este é o tipo de fonte de dados conectada. - Para regras analíticas, este é o tipo de regra. |
| RecordId | Cordão | Um identificador exclusivo para o registro que pode ser compartilhado com a equipe de suporte para melhor correlação, conforme necessário. |
| ExtendedProperties | Dinâmica (json) | Um saco JSON que varia de acordo com o valor OperationName e o Status do evento. Consulte Propriedades estendidas para obter detalhes. |
| Type | Cordão | SentinelHealth |
Nomes de operação para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estatutos |
|---|---|---|
| Coletores de dados | Alteração de status de busca de dados __________________ Resumo da falha de busca de dados |
Sucesso Failure _____________ Informational |
| Regras de automação | Execução de regras de automação | Sucesso Sucesso parcial Failure |
| Manuais | Playbook foi acionado | Sucesso Failure |
| Regras de análise | Execução de regra de análise agendada Execução da regra de análise NRT |
Sucesso Failure |
Propriedades estendidas
Conectores de dados
Para Data fetch status change eventos com um indicador de sucesso, o saco contém uma propriedade 'DestinationTable' para indicar onde os dados desse recurso devem chegar. Para falhas, o conteúdo varia dependendo do tipo de falha.
Regras de automação
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| AçõesTriggeredSuccessfully | Número inteiro | Número de ações que a regra de automação acionou com êxito. |
| Nome do Incidente | Cordão | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi acionada. |
| Número do Incidente | Cordão | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| TotalActions | Número inteiro | Número de ações configuradas nesta regra de automação. |
| Acionado | Cordão |
Alert ou Incident. O objeto sobre o qual a regra foi acionada. |
| TriggeredPlaybooks | Dinâmica (json) | Uma lista de playbooks que essa regra de automação acionou com êxito. Cada registro de playbook na lista contém: - RunId: A ID de execução para esse disparo do fluxo de trabalho de Aplicativos Lógicos - WorkflowId: O identificador exclusivo (ID de recurso ARM completo) do recurso de fluxo de trabalho Aplicativos Lógicos. |
| AcionadoQuando | Cordão |
Created ou Updated. Indica se a regra foi acionada devido à criação ou atualização de um incidente ou alerta. |
Playbooks
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| Nome do Incidente | Cordão | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi acionada. |
| Número do Incidente | Cordão | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| RunId | Cordão | A ID de execução para esse acionamento do fluxo de trabalho de Aplicativos Lógicos. |
| TriggeredByName | Dinâmica (json) | Informações sobre a identidade (usuário ou aplicativo) que acionou o playbook. |
| Acionado | Cordão |
Incident. O objeto no qual o manual foi acionado.(Os playbooks que usam o gatilho de alerta são registrados somente se forem chamados por regras de automação, portanto, essas execuções de playbook aparecerão na propriedade estendida TriggeredPlaybooks em eventos de regra de automação.) |
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regras.
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| AgregaçãoKind | Cordão | A configuração de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertasGeneratedAmount | Número inteiro | O número de alertas gerados por essa execução da regra. |
| CorrelationId | Cordão | O ID de correlação de eventos no formato GUID. |
| EntidadesDroppedDueToMappingIssuesAmount | Número inteiro | O número de entidades caiu devido a problemas de mapeamento. |
| EntidadesMontante gerado | Número inteiro | O número de entidades geradas por essa execução da regra. |
| Questões | Cordão | |
| QueryEndTimeUTC | Data e hora | A hora UTC em que a consulta começou a ser executada. |
| QueryFrequency | Data e hora | Valor da configuração "Executar consulta a todos" (HH:MM:SS). |
| QueryPerformanceIndicators | Cordão | |
| QueryPeriod | Data e hora | Valor da configuração "Dados de pesquisa do último" (HH:MM:SS). |
| QueryResultAmount | Número inteiro | O número de resultados capturados pela consulta. A regra gerará um alerta se esse número exceder o limite, conforme definido abaixo. |
| QueryStartTimeUTC | Data e hora | A hora UTC em que a consulta concluiu a sua execução. |
| RuleId | Cordão | O ID da regra para esta regra de análise. |
| SupressãoDuração | Time | A duração da supressão da regra (HH:MM:SS). |
| SupressãoAtivada | Cordão | A supressão de regras está habilitada.
True/False. |
| TriggerOperator | Cordão | A parte do operador do limite de resultados necessários para gerar um alerta. |
| TriggerThreshold | Número inteiro | A parte do número do limite de resultados necessários para gerar um alerta. |
| Tipo de gatilho | Cordão | O tipo de regra que está sendo acionada.
Scheduled ou NrtRun. |
Próximos passos
- Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras e playbooks de automação.
- Monitore a integridade dos conectores de dados.
- Monitore a integridade e a integridade de suas regras de análise.
- Referência das tabelas SentinelAudit