Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los campos de la tabla SentinelHealth que se usan para supervisar el estado de Microsoft Sentinel recursos. Con la característica de supervisión de estado de Microsoft Sentinel, puede mantener las pestañas sobre el funcionamiento correcto de SIEM y obtener información sobre los desfases de estado en su entorno.
Obtenga información sobre cómo consultar y usar la tabla de estado para una supervisión y visibilidad más detalladas de las acciones en su entorno:
- Para conectores de datos
- Para reglas de automatización y cuadernos de estrategias
- Para reglas de análisis
la característica de supervisión de estado de Microsoft Sentinel cubre diferentes tipos de recursos (consulte los tipos de recursos en el campo SentinelResourceType de la primera tabla siguiente). Muchos de los campos de datos de las tablas siguientes se aplican entre tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de tabla de SentinelHealth
En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelHealth:
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | Cadena | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Datetime | Hora (UTC) a la que se produjo el evento de mantenimiento. |
| OperationName | Cadena | La operación de mantenimiento. Los valores posibles dependen del tipo de recurso. Para obtener más información, consulte Nombres de operaciones para obtener diferentes tipos de recursos . |
| SentinelResourceId | Cadena | Identificador único del recurso en el que se produjo el evento de mantenimiento y su área de trabajo Microsoft Sentinel asociada. |
| SentinelResourceName | Cadena | Nombre del recurso (conector, regla o cuaderno de estrategias). |
| Estado | Cadena | Indica el resultado general de la operación. Los valores posibles dependen del nombre de la operación. Para obtener más información, consulte Nombres de operaciones para obtener diferentes tipos de recursos . |
| Descripción | Cadena | Describe la operación, incluidos los datos extendidos según sea necesario. En el caso de los errores, esto puede incluir detalles del motivo del error. |
| Motivo | Enum | Muestra una razón básica o un código de error para el error del recurso. Los valores posibles dependen del tipo de recurso. Puede encontrar razones más detalladas en el campo Descripción . |
| WorkspaceId | Cadena | GUID del área de trabajo en la que se produjo el problema de mantenimiento. El identificador de recurso Azure completo está disponible en la columna SentinelResourceID. |
| SentinelResourceType | Cadena | El tipo de recurso Microsoft Sentinel que se está supervisando. Valores posibles: Data connector, Automation rule, , Playbook, Analytics rule |
| SentinelResourceKind | Cadena | Clasificación de recursos dentro del tipo de recurso. - Para los conectores de datos, este es el tipo de origen de datos conectado. - Para las reglas de análisis, este es el tipo de regla. |
| RecordId | Cadena | Identificador único del registro que se puede compartir con el equipo de soporte técnico para una mejor correlación según sea necesario. |
| ExtendedProperties | Dinámico (json) | Contenedor JSON que varía según el valor operationname y el estado del evento. Consulte Propiedades extendidas para obtener más información. |
| Tipo | Cadena | SentinelHealth |
Nombres de operación para diferentes tipos de recursos
| Tipos de recursos | Nombres de operación | Estados |
|---|---|---|
| Recopiladores de datos | Cambio de estado de captura de datos __________________ Resumen de errores de captura de datos |
Correcto Error _____________ Informativo |
| Reglas de automatización | Ejecución de la regla de automatización | Correcto Éxito parcial Error |
| Cuadernos de estrategias | Se desencadenó el cuaderno de estrategias | Correcto Error |
| Reglas de análisis | Ejecución de reglas de análisis programadas Ejecución de la regla de análisis de NRT |
Correcto Error |
Propiedades extendidas
Conectores de datos
En Data fetch status change el caso de eventos con un indicador de éxito, el contenedor contiene una propiedad "DestinationTable" para indicar dónde se espera que lleguen los datos de este recurso. En el caso de los errores, el contenido varía en función del tipo de error.
Reglas de automatización
| ColumnName | ColumnType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Entero | Número de acciones que la regla de automatización ha desencadenado correctamente. |
| IncidentName | Cadena | Identificador de recurso del Microsoft Sentinel incidente en el que se desencadenó la regla. |
| IncidentNumber | Cadena | Número secuencial del incidente de Microsoft Sentinel como se muestra en el portal. |
| TotalActions | Entero | Número de acciones configuradas en esta regla de automatización. |
| TriggeredOn | Cadena |
Alert o Incident. Objeto en el que se desencadenó la regla. |
| TriggeredPlaybooks | Dinámico (json) | Una lista de cuadernos de estrategias que esta regla de automatización se desencadenó correctamente. Cada registro del cuaderno de estrategias de la lista contiene: - RunId: Identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps - WorkflowId: Identificador único (identificador de recurso de ARM completo) del recurso de flujo de trabajo de Logic Apps. |
| TriggeredWhen | Cadena |
Created o Updated. Indica si la regla se desencadenó debido a la creación o actualización de un incidente o alerta. |
Cuadernos de estrategias
| ColumnName | ColumnType | Description |
|---|---|---|
| IncidentName | Cadena | Identificador de recurso del Microsoft Sentinel incidente en el que se desencadenó la regla. |
| IncidentNumber | Cadena | Número secuencial del incidente de Microsoft Sentinel como se muestra en el portal. |
| RunId | Cadena | Identificador de ejecución de este desencadenador del flujo de trabajo de Logic Apps. |
| TriggeredByName | Dinámico (json) | Información sobre la identidad (usuario o aplicación) que desencadenó el cuaderno de estrategias. |
| TriggeredOn | Cadena |
Incident. Objeto en el que se desencadenó el cuaderno de estrategias.(Los cuadernos de estrategias que usan el desencadenador de alertas solo se registran si son llamados por las reglas de automatización, por lo que esas ejecuciones del cuaderno de estrategias aparecerán en la propiedad extendida TriggeredPlaybooks en los eventos de regla de automatización). |
Reglas de análisis
Las propiedades extendidas de las reglas de análisis reflejan cierta configuración de regla.
| ColumnName | ColumnType | Description |
|---|---|---|
| AggregationKind | Cadena | Configuración de agrupación de eventos.
AlertPerResult o SingleAlert. |
| AlertsGeneratedAmount | Entero | Número de alertas generadas por esta ejecución de la regla. |
| CorrelationId | Cadena | Identificador de correlación de eventos en formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Entero | Número de entidades eliminadas debido a problemas de asignación. |
| EntitiesGeneratedAmount | Entero | Número de entidades generadas por esta ejecución de la regla. |
| Issues | Cadena | |
| QueryEndTimeUTC | Datetime | Hora UTC en la que comenzó a ejecutarse la consulta. |
| QueryFrequency | Datetime | Valor de la configuración "Ejecutar consulta cada" (HH:MM:SS). |
| QueryPerformanceIndicators | Cadena | |
| QueryPeriod | Datetime | Valor de la configuración "Buscar datos desde el último" (HH:MM:SS). |
| QueryResultAmount | Entero | Número de resultados capturados por la consulta. La regla generará una alerta si este número supera el umbral tal como se define a continuación. |
| QueryStartTimeUTC | Datetime | Hora UTC en la que la consulta completó su ejecución. |
| RuleId | Cadena | Identificador de regla de esta regla de análisis. |
| SuppressionDuration | Hora | Duración de la supresión de reglas (HH:MM:SS). |
| SuppressionEnabled | Cadena | Está habilitada la supresión de reglas.
True/False. |
| TriggerOperator | Cadena | Parte del operador del umbral de resultados necesario para generar una alerta. |
| TriggerThreshold | Entero | Parte del número del umbral de resultados necesario para generar una alerta. |
| TriggerType | Cadena | Tipo de regla que se desencadena.
Scheduled o NrtRun. |
Pasos siguientes
- Obtenga información sobre la auditoría y la supervisión del estado en Microsoft Sentinel.
- Active la auditoría y la supervisión de estado en Microsoft Sentinel.
- Supervise el estado de las reglas de automatización y los cuadernos de estrategias.
- Supervise el estado de los conectores de datos.
- Supervise el estado y la integridad de las reglas de análisis.
- Referencia de tablas sentinelaudit