Referencia de las tablas de estado de Microsoft Sentinel
En este artículo se describen los campos de la tabla de SentinelHealth que se usan para supervisar el estado de los recursos de Microsoft Sentinel. Con la característica de supervisión de estado de Microsoft Sentinel, puede mantener las pestañas en el funcionamiento adecuado de su SIEM y obtener información sobre los desfases de estado en su entorno.
Obtenga información sobre cómo consultar y usar la tabla de estado para una supervisión y una visibilidad más profundas de las acciones en su entorno:
- Para los conectores de datos
- Para las reglas de automatización y cuadernos de estrategias
- Para las reglas de análisis
Importante
La tabla de datos SentinelHealth se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
La característica de supervisión de estado de Microsoft Sentinel abarca diferentes tipos de recursos (consulte los tipos de recursos del campo SentinelResourceType en la primera tabla a continuación). Muchos de los campos de datos de las tablas siguientes se aplican en todos los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de la tabla SentinelHealth
En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelHealth:
| ColumnName | ColumnType | Descripción |
|---|---|---|
| TenantId | String | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Datetime | Hora (UTC) a la que se ha producido el evento. |
| OperationName | String | Operación de mantenimiento. Los valores posibles dependen del tipo de recurso. Consulte Nombres de operación para distintos tipos de recursos para obtener más información. |
| SentinelResourceId | String | El identificador único del recurso en el que se ha producido el evento de mantenimiento, y el espacio de trabajo de Microsoft Sentinel asociado. |
| SentinelResourceName | String | Nombre del recurso (conector, regla o cuaderno de estrategias). |
| Status | String | Indica el resultado general de la operación. Los valores posibles dependen del nombre de la operación. Consulte Nombres de operación para distintos tipos de recursos para obtener más información. |
| Descripción | String | Describe la operación, incluidos los datos extendidos según sea necesario. En el caso de los errores, es posible que se incluyan los detalles del motivo del error. |
| Motivo | Enumeración | Muestra un motivo básico o un código de error para el error del recurso. Los valores posibles dependen del tipo de recurso. En el campo Descripción, se pueden encontrar motivos más detallados. |
| WorkspaceId | String | GUID del área de trabajo en el que se ha producido el problema de mantenimiento. El identificador de recursos de Azure completo está disponible en la columna SentinelResourceID. |
| SentinelResourceType | String | Tipo de recurso de Microsoft Sentinel que se supervisa. Valores posibles: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Clasificación de recursos en el tipo de recurso. - En el caso de los conectores de datos, este es el tipo de origen de datos conectado. - Para las reglas de análisis, este es el tipo de regla. |
| RecordId | String | Identificador único para el registro que se puede compartir con el equipo de soporte técnico para una mejor correlación según sea necesario. |
| ExtendedProperties | Dinámico (JSON) | Un paquete JSON que varía según el valor OperationName y el estado del evento. Consulte Propiedades extendidas para más información. |
| Tipo | String | SentinelHealth |
Nombres de operación para distintos tipos de recursos.
| Tipos de recursos | Nombres de operación | Estados |
|---|---|---|
| Recopiladores de datos | Cambio de estado de la captura de datos __________________ Resumen de errores de la captura de datos |
Correcto Error _____________ Informativo |
| Regalas de automatización | Ejecución de una regla de automatización | Correcto Parcialmente correcto Error |
| Playbooks | Se desencadenó el cuaderno de estrategias | Correcto Error |
| Reglas de análisis | Ejecución de reglas de análisis programadas Ejecución de reglas de análisis de NRT |
Correcto Error |
Propiedades extendidas
Conectores de datos
Para los eventos Data fetch status change con un indicador de éxito, el paquete contiene una propiedad "DestinationTable" para indicar dónde se espera que lleguen los datos de este conector. En el caso de los errores, el contenido varía en función del tipo de error.
Regalas de automatización
| ColumnName | ColumnType | Descripción |
|---|---|---|
| ActionsTriggeredSuccessfully | Entero | Número de acciones que la regla de automatización desencadenó correctamente. |
| IncidentName | String | Identificador de recurso del incidente de Microsoft Sentinel en el que se ha desencadenado la regla. |
| IncidentNumber | String | Número secuencial del incidente de Microsoft Sentinel, tal como se muestra en el portal. |
| TotalActions | Entero | Número de acciones configuradas en esta regla de automatización. |
| TriggeredOn | String | Alert o Incident. Objeto en el que se desencadenó la regla. |
| TriggeredPlaybooks | Dinámico (JSON) | Lista de cuadernos de estrategias que esta regla de automatización desencadenó correctamente. Cada registro de cuaderno de estrategias de la lista contiene: - RunId: identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps - WorkflowId: Identificador único (id. de recurso ARM completo) del recurso de flujo de trabajo de Logic Apps. |
| TriggeredWhen | String | Created o Updated. Indica si la regla se desencadenó debido a la creación o actualización de un incidente o alerta. |
Playbooks
| ColumnName | ColumnType | Descripción |
|---|---|---|
| IncidentName | String | Identificador de recurso del incidente de Microsoft Sentinel en el que se ha desencadenado la regla. |
| IncidentNumber | String | Número secuencial del incidente de Microsoft Sentinel, tal como se muestra en el portal. |
| RunId | String | Identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps. |
| TriggeredByName | Dinámico (JSON) | Información sobre la identidad (usuario o aplicación) que desencadenó el cuaderno de estrategias. |
| TriggeredOn | String | Incident. Objeto en el que se desencadenó el cuaderno de estrategias.(Los cuadernos de estrategias que usan el desencadenador de alerta solo se registran si se les llama mediante reglas de automatización, por lo que esas ejecuciones del cuaderno de estrategias aparecerán en la propiedad extendida TriggerPlaybooks en eventos de regla de automatización). |
Reglas de análisis
Las propiedades extendidas de las reglas de análisis reflejan ciertas configuraciones de reglas.
| ColumnName | ColumnType | Descripción |
|---|---|---|
| AggregationKind | String | Configuración de la agrupación de eventos. AlertPerResult o SingleAlert. |
| AlertsGeneratedAmount | Entero | Número de alertas generadas al ejecutarse esta regla. |
| CorrelationId | String | Identificador de correlación de eventos en formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Entero | Número de entidades eliminadas por problemas de asignación. |
| EntitiesGeneratedAmount | Entero | Número de entidades generadas al ejecutarse esta regla. |
| Problemas | String | |
| QueryEndTimeUTC | Datetime | Hora (UTC) a la que empezó a ejecutarse la consulta. |
| QueryFrequency | Datetime | Valor de la configuración "Ejecutar la consulta cada" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Valor de la configuración "Buscar datos del último" (HH:MM:SS). |
| QueryResultAmount | Entero | Número de resultados que devolvió la consulta. La regla generará una alerta si este número supera el umbral tal y como se define a continuación. |
| QueryStartTimeUTC | Datetime | Hora (UTC) a la que la consulta completó su ejecución. |
| RuleId | String | Identificador de regla de esta regla de análisis. |
| SuppressionDuration | Time | Duración de la supresión de reglas (HH:MM:SS). |
| SuppressionEnabled | String | Está habilitada la supresión de reglas. True/False. |
| TriggerOperator | String | Parte del operador del umbral de los resultados necesarios para generar una alerta. |
| TriggerThreshold | Entero | Parte del número del umbral de resultados necesarios para generar una alerta. |
| TriggerType | String | Tipo de regla que se va a desencadenar. Scheduled o NrtRun. |
Pasos siguientes
- Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
- Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
- Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
- Supervisión del estado de los conectores de datos.
- Supervisión del estado y la integridad de las reglas de análisis.
- Referencia de las tablas SentinelAudit