Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les champs de la table SentinelHealth utilisés pour surveiller l’intégrité des ressources Microsoft Sentinel. Avec la fonctionnalité de surveillance de l’intégrité Microsoft Sentinel, vous pouvez surveiller le bon fonctionnement de votre SIEM et obtenir des informations sur les dérives d’intégrité dans votre environnement.
Découvrez comment interroger et utiliser la table d’intégrité pour une surveillance et une visibilité plus approfondies des actions dans votre environnement :
- Pour les connecteurs de données
- Pour les règles d’automatisation et les playbooks
- Pour les règles d’analyse
La fonctionnalité de surveillance de l’intégrité de Microsoft Sentinel couvre différents types de ressources (consultez les types de ressources dans le champ SentinelResourceType dans le premier tableau ci-dessous). La plupart des champs de données dans les tableaux suivants s’appliquent à différents types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent d’une manière ou d’une autre.
Schéma des colonnes de table SentinelHealth
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelHealth :
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Datetime | Heure (UTC) à laquelle l’événement d’intégrité s’est produit. |
| OperationName | String | Opération d’intégrité. Les valeurs possibles dépendent du type de ressource. Pour plus d’informations, consultez Noms des opérations pour les différents types de ressources . |
| SentinelResourceId | String | Identificateur unique de la ressource sur laquelle l’événement d’intégrité s’est produit et de son espace de travail Microsoft Sentinel associé. |
| SentinelResourceName | String | Nom de la ressource (connecteur, règle ou playbook). |
| Statut | String | Indique le résultat global de l’opération. Les valeurs possibles dépendent du nom de l’opération. Pour plus d’informations, consultez Noms des opérations pour les différents types de ressources . |
| Description | String | Décrit l’opération, y compris les données étendues en fonction des besoins. Pour les défaillances, cela peut inclure des détails sur la raison de l’échec. |
| Raison | Énum | Affiche une raison de base ou un code d’erreur pour l’échec de la ressource. Les valeurs possibles dépendent du type de ressource. Vous trouverez des raisons plus détaillées dans le champ Description . |
| WorkspaceId | String | GUID de l’espace de travail sur lequel le problème d’intégrité s’est produit. L’identificateur de ressource Azure complet est disponible dans la colonne SentinelResourceID. |
| SentinelResourceType | String | Type de ressource Microsoft Sentinel surveillé. Valeurs possibles : Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Classification des ressources dans le type de ressource. - Pour les connecteurs de données, il s’agit du type de source de données connectée. - Pour les règles analytiques, il s’agit du type de règle. |
| RecordId | String | Identificateur unique de l’enregistrement qui peut être partagé avec l’équipe du support technique pour une meilleure corrélation en fonction des besoins. |
| ExtendedProperties | Dynamique (json) | Conteneur JSON qui varie selon la valeur OperationName et l’état de l’événement. Pour plus d’informations, consultez Propriétés étendues . |
| Type | String | SentinelHealth |
Noms des opérations pour les différents types de ressources
| Types de ressources | Noms des opérations | Statuts |
|---|---|---|
| Collecteurs de données | Modification de l’extraction status données __________________ Résumé de l’échec de la récupération de données |
Opération réussie Échec _____________ Informatif |
| Règles d’automatisation | Exécution de règles d’automatisation | Opération réussie Réussite partielle Échec |
| Playbooks | Le playbook a été déclenché | Opération réussie Échec |
| Règles d’analyse | Exécution de règles d’analyse planifiée Exécution d’une règle d’analytique NRT |
Opération réussie Échec |
Propriétés étendues
Connecteurs de données
Pour Data fetch status change les événements avec un indicateur de réussite, le conteneur contient une propriété « DestinationTable » pour indiquer où les données de cette ressource sont censées atterrir. Pour les échecs, le contenu varie en fonction du type d’échec.
Règles d’automatisation
| ColumnName | ColumnType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Entier | Nombre d’actions déclenchées par la règle d’automatisation. |
| Nom d’incident | String | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| Numéro d’incident | String | Numéro séquentiel de l’incident Microsoft Sentinel comme indiqué dans le portail. |
| TotalActions | Entier | Nombre d’actions configurées dans cette règle d’automatisation. |
| TriggeredOn | String |
Alert ou Incident. Objet sur lequel la règle a été déclenchée. |
| TriggeredPlaybooks | Dynamique (json) | Liste des playbooks que cette règle d’automatisation a déclenchés avec succès. Chaque enregistrement de playbook dans la liste contient : - RunId : ID d’exécution pour ce déclenchement du workflow Logic Apps - WorkflowId : Identificateur unique (ID de ressource ARM complet) de la ressource de flux de travail Logic Apps. |
| TriggeredWhen | String |
Created ou Updated. Indique si la règle a été déclenchée en raison de la création ou de la mise à jour d’un incident ou d’une alerte. |
Playbooks
| ColumnName | ColumnType | Description |
|---|---|---|
| Nom d’incident | String | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| Numéro d’incident | String | Numéro séquentiel de l’incident Microsoft Sentinel comme indiqué dans le portail. |
| RunId | String | ID d’exécution pour ce déclenchement du workflow Logic Apps. |
| TriggeredByName | Dynamique (json) | Informations sur l’identité (utilisateur ou application) qui a déclenché le playbook. |
| TriggeredOn | String |
Incident. Objet sur lequel le playbook a été déclenché.(Les playbooks utilisant le déclencheur d’alerte sont enregistrés uniquement s’ils sont appelés par des règles d’automatisation, de sorte que ces exécutions de playbooks apparaissent dans la propriété étendue TriggeredPlaybooks sous les événements de règle d’automatisation.) |
Règles d’analyse
Les propriétés étendues des règles d’analyse reflètent certains paramètres de règle.
| ColumnName | ColumnType | Description |
|---|---|---|
| AggregationKind | String | Paramètre de regroupement d’événements.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Entier | Nombre d’alertes générées par cette exécution de la règle. |
| Correlationid | String | ID de corrélation d’événement au format GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Entier | Nombre d’entités supprimées en raison de problèmes de mappage. |
| EntitiesGeneratedAmount | Entier | Nombre d’entités générées par cette exécution de la règle. |
| Issues | String | |
| QueryEndTimeUTC | Datetime | Heure UTC à laquelle la requête a commencé à s’exécuter. |
| QueryFrequency | Datetime | Valeur du paramètre « Exécuter la requête tous » (HH :MM :SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Valeur du paramètre « Rechercher les données de la dernière » (HH :MM :SS). |
| QueryResultAmount | Entier | Nombre de résultats capturés par la requête. La règle génère une alerte si ce nombre dépasse le seuil défini ci-dessous. |
| QueryStartTimeUTC | Datetime | Heure UTC à laquelle la requête a terminé son exécution. |
| RuleId | String | ID de règle pour cette règle d’analyse. |
| SuppressionDuration | Time | Durée de suppression de la règle (HH :MM :SS). |
| SuppressionEnabled | String | La suppression de règle est-elle activée ?
True/False. |
| TriggerOperator | String | Partie opérateur du seuil de résultats requis pour générer une alerte. |
| TriggerThreshold | Entier | Partie nombre du seuil de résultats requis pour générer une alerte. |
| TriggerType | String | Type de règle déclenchée.
Scheduled ou NrtRun. |
Étapes suivantes
- Découvrez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et playbooks.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité et l’intégrité de vos règles d’analyse.
- Informations de référence sur les tables SentinelAudit