Compartir a través de


Referencia de las tablas de estado de Microsoft Sentinel

En este artículo se describen los campos de la tabla de SentinelHealth que se usan para supervisar el estado de los recursos de Microsoft Sentinel. Con la característica de supervisión de estado de Microsoft Sentinel, puede mantener las pestañas en el funcionamiento adecuado de su SIEM y obtener información sobre los desfases de estado en su entorno.

Obtenga información sobre cómo consultar y usar la tabla de estado para una supervisión y una visibilidad más profundas de las acciones en su entorno:

Importante

La tabla de datos SentinelHealth se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

La característica de supervisión de estado de Microsoft Sentinel abarca diferentes tipos de recursos (consulte los tipos de recursos del campo SentinelResourceType en la primera tabla a continuación). Muchos de los campos de datos de las tablas siguientes se aplican en todos los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.

Esquema de columnas de la tabla SentinelHealth

En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelHealth:

ColumnName ColumnType Descripción
TenantId String Identificador de inquilino del área de trabajo de Microsoft Sentinel.
TimeGenerated Datetime Hora (UTC) a la que se ha producido el evento.
OperationName String Operación de mantenimiento. Los valores posibles dependen del tipo de recurso.
Consulte Nombres de operación para distintos tipos de recursos para obtener más información.
SentinelResourceId String El identificador único del recurso en el que se ha producido el evento de mantenimiento, y el espacio de trabajo de Microsoft Sentinel asociado.
SentinelResourceName String Nombre del recurso (conector, regla o cuaderno de estrategias).
Status String Indica el resultado general de la operación. Los valores posibles dependen del nombre de la operación.
Consulte Nombres de operación para distintos tipos de recursos para obtener más información.
Descripción String Describe la operación, incluidos los datos extendidos según sea necesario. En el caso de los errores, es posible que se incluyan los detalles del motivo del error.
Motivo Enumeración Muestra un motivo básico o un código de error para el error del recurso. Los valores posibles dependen del tipo de recurso. En el campo Descripción, se pueden encontrar motivos más detallados.
WorkspaceId String GUID del área de trabajo en el que se ha producido el problema de mantenimiento. El identificador de recursos de Azure completo está disponible en la columna SentinelResourceID.
SentinelResourceType String Tipo de recurso de Microsoft Sentinel que se supervisa.
Valores posibles: Data connector, Automation rule, Playbook, Analytics rule
SentinelResourceKind String Clasificación de recursos en el tipo de recurso.
- En el caso de los conectores de datos, este es el tipo de origen de datos conectado.
- Para las reglas de análisis, este es el tipo de regla.
RecordId String Identificador único para el registro que se puede compartir con el equipo de soporte técnico para una mejor correlación según sea necesario.
ExtendedProperties Dinámico (JSON) Un paquete JSON que varía según el valor OperationName y el estado del evento.
Consulte Propiedades extendidas para más información.
Tipo String SentinelHealth

Nombres de operación para distintos tipos de recursos.

Tipos de recursos Nombres de operación Estados
Recopiladores de datos Cambio de estado de la captura de datos

__________________
Resumen de errores de la captura de datos
Correcto
Error
_____________
Informativo
Regalas de automatización Ejecución de una regla de automatización Correcto
Parcialmente correcto
Error
Playbooks Se desencadenó el cuaderno de estrategias Correcto
Error
Reglas de análisis Ejecución de reglas de análisis programadas
Ejecución de reglas de análisis de NRT
Correcto
Error

Propiedades extendidas

Conectores de datos

Para los eventos Data fetch status change con un indicador de éxito, el paquete contiene una propiedad "DestinationTable" para indicar dónde se espera que lleguen los datos de este conector. En el caso de los errores, el contenido varía en función del tipo de error.

Regalas de automatización

ColumnName ColumnType Descripción
ActionsTriggeredSuccessfully Entero Número de acciones que la regla de automatización desencadenó correctamente.
IncidentName String Identificador de recurso del incidente de Microsoft Sentinel en el que se ha desencadenado la regla.
IncidentNumber String Número secuencial del incidente de Microsoft Sentinel, tal como se muestra en el portal.
TotalActions Entero Número de acciones configuradas en esta regla de automatización.
TriggeredOn String Alert o Incident. Objeto en el que se desencadenó la regla.
TriggeredPlaybooks Dinámico (JSON) Lista de cuadernos de estrategias que esta regla de automatización desencadenó correctamente.

Cada registro de cuaderno de estrategias de la lista contiene:
- RunId: identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps
- WorkflowId: Identificador único (id. de recurso ARM completo) del recurso de flujo de trabajo de Logic Apps.
TriggeredWhen String Created o Updated. Indica si la regla se desencadenó debido a la creación o actualización de un incidente o alerta.

Playbooks

ColumnName ColumnType Descripción
IncidentName String Identificador de recurso del incidente de Microsoft Sentinel en el que se ha desencadenado la regla.
IncidentNumber String Número secuencial del incidente de Microsoft Sentinel, tal como se muestra en el portal.
RunId String Identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps.
TriggeredByName Dinámico (JSON) Información sobre la identidad (usuario o aplicación) que desencadenó el cuaderno de estrategias.
TriggeredOn String Incident. Objeto en el que se desencadenó el cuaderno de estrategias.
(Los cuadernos de estrategias que usan el desencadenador de alerta solo se registran si se les llama mediante reglas de automatización, por lo que esas ejecuciones del cuaderno de estrategias aparecerán en la propiedad extendida TriggerPlaybooks en eventos de regla de automatización).

Reglas de análisis

Las propiedades extendidas de las reglas de análisis reflejan ciertas configuraciones de reglas.

ColumnName ColumnType Descripción
AggregationKind String Configuración de la agrupación de eventos. AlertPerResult o SingleAlert.
AlertsGeneratedAmount Entero Número de alertas generadas al ejecutarse esta regla.
CorrelationId String Identificador de correlación de eventos en formato GUID.
EntitiesDroppedDueToMappingIssuesAmount Entero Número de entidades eliminadas por problemas de asignación.
EntitiesGeneratedAmount Entero Número de entidades generadas al ejecutarse esta regla.
Problemas String
QueryEndTimeUTC Datetime Hora (UTC) a la que empezó a ejecutarse la consulta.
QueryFrequency Datetime Valor de la configuración "Ejecutar la consulta cada" (HH:MM:SS).
QueryPerformanceIndicators String
QueryPeriod Datetime Valor de la configuración "Buscar datos del último" (HH:MM:SS).
QueryResultAmount Entero Número de resultados que devolvió la consulta.
La regla generará una alerta si este número supera el umbral tal y como se define a continuación.
QueryStartTimeUTC Datetime Hora (UTC) a la que la consulta completó su ejecución.
RuleId String Identificador de regla de esta regla de análisis.
SuppressionDuration Time Duración de la supresión de reglas (HH:MM:SS).
SuppressionEnabled String Está habilitada la supresión de reglas. True/False.
TriggerOperator String Parte del operador del umbral de los resultados necesarios para generar una alerta.
TriggerThreshold Entero Parte del número del umbral de resultados necesarios para generar una alerta.
TriggerType String Tipo de regla que se va a desencadenar. Scheduled o NrtRun.

Pasos siguientes