Informazioni di riferimento sulle tabelle di integrità di Microsoft Sentinel
Questo articolo descrive i campi nella tabella SentinelHealth usato per monitorare l'integrità delle risorse di Microsoft Sentinel. Con la funzionalità di monitoraggio dell'integrità di Microsoft Sentinel, è possibile mantenere le schede sul corretto funzionamento del SIEM e ottenere informazioni su eventuali deriva di integrità nell'ambiente.
Informazioni su come eseguire query e usare la tabella di integrità per il monitoraggio più approfondito e la visibilità delle azioni nell'ambiente:
Importante
La tabella dati SentinelHealth è attualmente in ANTEPRIMA. Per altre condizioni legali che si applicano alle funzionalità di Azure in versione beta, anteprima o altrimenti non ancora rilasciate in disponibilità generale, vedere Le condizioni aggiuntive per l'uso per Microsoft Azure .
La funzionalità di monitoraggio dell'integrità di Microsoft Sentinel illustra diversi tipi di risorse (vedere i tipi di risorse nel campo SentinelResourceType nella prima tabella seguente). Molti dei campi dati nelle tabelle seguenti si applicano tra tipi di risorse, ma alcuni hanno applicazioni specifiche per ogni tipo. Le descrizioni seguenti indicherà un modo o l'altro.
Schema delle colonne di tabella SentinelHealth
Nella tabella seguente vengono descritte le colonne e i dati generati nella tabella dati SentinelHealth:
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| TenantId | string | ID tenant per l'area di lavoro di Microsoft Sentinel. |
| TimeGenerated | Datetime | Ora (UTC) in cui si è verificato l'evento di integrità. |
| Nomeoperazione | string | Operazione di integrità. I valori possibili dipendono dal tipo di risorsa. Per informazioni dettagliate, vedere Nomi di operazione per tipi di risorse diversi . |
| SentinelResourceId | string | Identificatore univoco della risorsa in cui si è verificato l'evento di integrità e dell'area di lavoro Microsoft Sentinel associata. |
| SentinelResourceName | string | Nome della risorsa (connettore, regola o playbook). |
| Stato | string | Indica il risultato complessivo dell'operazione. I valori possibili dipendono dal nome dell'operazione. Per informazioni dettagliate, vedere Nomi di operazione per tipi di risorse diversi . |
| Descrizione | string | Descrive l'operazione, inclusi i dati estesi in base alle esigenze. Per gli errori, questo può includere i dettagli del motivo dell'errore. |
| Motivo | Enumerazione | Mostra un codice di base o errore per l'errore della risorsa. I valori possibili dipendono dal tipo di risorsa. I motivi più dettagliati sono disponibili nel campo Descrizione . |
| WorkspaceId | string | GUID dell'area di lavoro in cui si è verificato il problema di integrità. L'identificatore completo di risorse di Azure è disponibile nella colonna SentinelResourceID . |
| SentinelResourceType | string | Tipo di risorsa Microsoft Sentinel monitorato. Valori possibili: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | string | Classificazione delle risorse all'interno del tipo di risorsa. - Per i connettori dati, questo è il tipo di origine dati connessa. - Per le regole di analisi, si tratta del tipo di regola. |
| Recordid | string | Identificatore univoco per il record che può essere condiviso con il team di supporto per una migliore correlazione in base alle esigenze. |
| ExtendedProperties | Dinamica (json) | Contenitore JSON che varia in base al valore OperationName e allo stato dell'evento. Per informazioni dettagliate, vedere Proprietà estese . |
| Tipo | string | SentinelHealth |
Nomi di operazione per tipi di risorse diversi
| Tipi di risorsa | Nomi di operazione | Stati |
|---|---|---|
| Agenti di raccolta dati | Modifica dello stato di recupero dei dati __________________ Riepilogo degli errori di recupero dei dati |
Operazione completata Operazioni non riuscite _____________ Informativo |
| Regole di automazione | Esecuzione della regola di automazione | Operazione riuscita Esito positivo parziale Operazioni non riuscite |
| Playbook | Playbook è stato attivato | Operazione completata Operazioni non riuscite |
| Regole di analisi | Esecuzione di regole di analisi pianificate Esecuzione della regola di analisi NRT |
Operazione completata Operazioni non riuscite |
Proprietà estese
Connettori dati
Per Data fetch status change gli eventi con un indicatore di esito positivo, il contenitore contiene una proprietà "DestinationTable" per indicare la posizione dei dati di questa risorsa. Per gli errori, il contenuto varia a seconda del tipo di errore.
Regole di automazione
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| ActionsTriggeredSuccesss | Integer | Numero di azioni attivate correttamente dalla regola di automazione. |
| IncidentName | string | ID risorsa dell'evento imprevisto di Microsoft Sentinel in cui è stata attivata la regola. |
| IncidentNumber | string | Numero sequenziale dell'evento imprevisto di Microsoft Sentinel, come illustrato nel portale. |
| TotalActions | Integer | Numero di azioni configurate in questa regola di automazione. |
| TriggeredOn | string |
Alert o Incident. Oggetto in cui è stata attivata la regola. |
| TriggeredPlaybook | Dinamica (json) | Elenco dei playbook che questa regola di automazione ha attivato correttamente. Ogni record playbook nell'elenco contiene: - RunId: ID esecuzione per questo trigger del flusso di lavoro app per la logica - WorkflowId: Identificatore univoco (ID risorsa ARM completo) della risorsa flusso di lavoro app per la logica. |
| AttivatoWhen | string |
Created o Updated. Indica se la regola è stata attivata a causa della creazione o dell'aggiornamento di un evento imprevisto o di un avviso. |
Playbook
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| IncidentName | string | ID risorsa dell'evento imprevisto di Microsoft Sentinel in cui è stata attivata la regola. |
| IncidentNumber | string | Numero sequenziale dell'evento imprevisto di Microsoft Sentinel, come illustrato nel portale. |
| RunId | string | ID esecuzione per questo trigger del flusso di lavoro app per la logica. |
| TriggeredByName | Dinamica (json) | Informazioni sull'identità (utente o applicazione) che ha attivato il playbook. |
| TriggeredOn | string |
Incident. Oggetto in cui è stato attivato il playbook.I playbook che usano il trigger di avviso vengono registrati solo se vengono chiamati dalle regole di automazione, quindi tali esecuzioni di playbook verranno visualizzate nella proprietà estesa TriggeredPlaybook in eventi di regola di automazione. |
Regole di analisi
Le proprietà estese per le regole di analisi riflettono determinate impostazioni delle regole.
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| AggregazioneKind | string | Impostazione di raggruppamento eventi.
AlertPerResult o SingleAlert. |
| AvvisiGeneratedAmount | Integer | Numero di avvisi generati da questa esecuzione della regola. |
| Correlationid | string | ID correlazione evento in formato GUID. |
| EntityesDroppedDueToMappingIssuesAmount | Integer | Numero di entità eliminate a causa di problemi di mapping. |
| EntitàGeneratedAmount | Integer | Numero di entità generate da questa esecuzione della regola. |
| Problemi | string | |
| QueryEndTimeUTC | Datetime | Ora UTC in cui è iniziata l'esecuzione della query. |
| QueryFrequency | Datetime | Valore dell'impostazione "Esegui query ogni" (HH:MM:SS). |
| QueryPerformanceIndicators | string | |
| QueryPeriod | Datetime | Valore dell'impostazione "Ricerca dati dall'ultima" (HH:MM:SS). |
| QueryResultAmount | Integer | Numero di risultati acquisiti dalla query. La regola genererà un avviso se questo numero supera la soglia definita di seguito. |
| QueryStartTimeUTC | Datetime | Ora UTC completata l'esecuzione della query. |
| ID regola | string | ID regola per questa regola di analisi. |
| EliminazioneDuration | Ora | Durata dell'eliminazione della regola (HH:MM:SS). |
| EliminazioneEnabled | string | Eliminazione delle regole abilitata.
True/False. |
| TriggerOperator | string | Parte dell'operatore della soglia dei risultati necessaria per generare un avviso. |
| TriggerThreshold | Integer | Parte numerica della soglia dei risultati necessaria per generare un avviso. |
| TriggerType | string | Tipo di regola attivata.
Scheduled o NrtRun. |
Passaggi successivi
- Informazioni sul controllo e sul monitoraggio dell'integrità in Microsoft Sentinel.
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Monitorare l'integrità delle regole di automazione e dei playbook.
- Monitorare l'integrità dei connettori dati.
- Monitorare l'integrità e l'integrità delle regole di analisi.
- Informazioni di riferimento sulle tabelle SentinelAudit