Referência das tabelas de estado de funcionamento do Microsoft Sentinel
Este artigo descreve os campos na tabela SentinelHealth utilizados para monitorizar o estado de funcionamento dos recursos do Microsoft Sentinel. Com a funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel, pode controlar o funcionamento adequado do SIEM e obter informações sobre quaisquer desfasamentos de estado de funcionamento no seu ambiente.
Saiba como consultar e utilizar a tabela de estado de funcionamento para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente:
- Para conectores de dados
- Para regras de automatização e manuais de procedimentos
- Para regras de análise
Importante
A tabela de dados SentinelHealth está atualmente em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
A funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel abrange diferentes tipos de recursos (veja os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas seguintes tabelas aplicam-se a tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
SentinelHealth table columns schema (Esquema de colunas de tabela SentinelHealth)
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelHealth:
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | O ID de inquilino da área de trabalho do Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu o evento de estado de funcionamento. |
| OperationName | String | A operação de estado de funcionamento. Os valores possíveis dependem do tipo de recurso. Veja Nomes de operações para obter diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | String | O identificador exclusivo do recurso no qual ocorreu o evento de estado de funcionamento e a área de trabalho do Microsoft Sentinel associada. |
| SentinelResourceName | String | O nome do recurso (conector, regra ou manual de procedimentos). |
| Estado | String | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Veja Nomes de operações para obter diferentes tipos de recursos para obter detalhes. |
| Descrição | String | Descreve a operação, incluindo dados expandidos conforme necessário. Para falhas, isto pode incluir detalhes do motivo da falha. |
| Razão | Enumeração | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Pode encontrar razões mais detalhadas no campo Descrição . |
| WorkspaceId | String | O GUID da área de trabalho no qual ocorreu o problema de estado de funcionamento. O Identificador de Recursos do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel a ser monitorizado. Valores possíveis: Data connector, , Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | String | Uma classificação de recursos no tipo de recurso. - Para conectores de dados, este é o tipo de origem de dados ligada. - Para regras de análise, este é o tipo de regra. |
| RecordId | String | Um identificador exclusivo para o registo que pode ser partilhado com a equipa de suporte para uma melhor correlação, conforme necessário. |
| Propriedades Expandidas | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | String | SentinelHealth |
Nomes de operações para diferentes tipos de recursos
| Tipos de recurso | Nomes das operações | Estados |
|---|---|---|
| Recoletores de dados | Alteração do estado de obtenção de dados __________________ Resumo da falha de obtenção de dados |
Com êxito Falha _____________ Informativo |
| Regras de automatização | Execução da regra de automatização | Com êxito Êxito parcial Falha |
| Manuais de procedimentos | O manual de procedimentos foi acionado | Com êxito Falha |
| Regras de análise | Execução da regra de análise agendada Execução da regra de análise NRT |
Com êxito Falha |
Propriedades expandidas
Conectores de dados
Para Data fetch status change eventos com um indicador de êxito, o saco contém uma propriedade "DestinationTable" para indicar onde se espera que os dados deste recurso sejam encaminhados. Para falhas, os conteúdos variam consoante o tipo de falha.
Regras de automatização
| ColumnName | ColumnType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Número inteiro | Número de ações que a regra de automatização acionou com êxito. |
| IncidentName | String | O ID de recurso do incidente do Microsoft Sentinel no qual a regra foi acionada. |
| IncidentNumber | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| TotalActions | Número inteiro | Número de ações configuradas nesta regra de automatização. |
| AcionadoOn | String |
Alert ou Incident. O objeto no qual a regra foi acionada. |
| TriggeredPlaybooks | Dinâmico (json) | Uma lista de manuais de procedimentos que esta regra de automatização acionou com êxito. Cada registo de manual de procedimentos na lista contém: - RunId: O ID de execução para este acionamento do fluxo de trabalho do Logic Apps - WorkflowId: O identificador exclusivo (ID de recurso do ARM completo) do recurso de fluxo de trabalho do Logic Apps. |
| AcionadoQuando | String |
Created ou Updated. Indica se a regra foi acionada devido à criação ou atualização de um incidente ou alerta. |
Manuais de procedimentos
| ColumnName | ColumnType | Description |
|---|---|---|
| IncidentName | String | O ID de recurso do incidente do Microsoft Sentinel no qual a regra foi acionada. |
| IncidentNumber | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| RunId | String | O ID de execução para este acionamento do fluxo de trabalho do Logic Apps. |
| TriggeredByName | Dinâmico (json) | Informações sobre a identidade (utilizador ou aplicação) que acionou o manual de procedimentos. |
| AcionadoOn | String |
Incident. O objeto no qual o manual de procedimentos foi acionado.(Os manuais de procedimentos que utilizam o acionador de alerta são registados apenas se forem chamados por regras de automatização, pelo que essas execuções de manuais de procedimentos serão apresentadas na propriedade expandida TriggeredPlaybooks em eventos de regras de automatização.) |
Regras de análise
As propriedades expandidas para regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Description |
|---|---|---|
| AggregationKind | String | A definição de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Número inteiro | O número de alertas gerados por esta execução da regra. |
| CorrelationId | String | O ID de correlação de eventos no formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Número inteiro | O número de entidades removidas devido a problemas de mapeamento. |
| EntitiesGeneratedAmount | Número inteiro | O número de entidades geradas por esta execução da regra. |
| Problemas | String | |
| QueryEndTimeUTC | Datetime | A hora UTC em que a consulta começou a ser executada. |
| QueryFrequency | Datetime | Valor da definição "Executar consulta a cada" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Valor da definição "Dados de pesquisa da última" (HH:MM:SS). |
| QueryResultAmount | Número inteiro | O número de resultados capturados pela consulta. A regra irá gerar um alerta se este número exceder o limiar conforme definido abaixo. |
| QueryStartTimeUTC | Datetime | A hora UTC em que a consulta concluiu a execução. |
| RuleId | String | O ID da regra para esta regra de análise. |
| SupressãoDuração | Hora | A duração da supressão de regras (HH:MM:SS). |
| SupressãoEnabled | String | A supressão de regras está ativada.
True/False. |
| TriggerOperator | String | A parte do operador do limiar de resultados necessário para gerar um alerta. |
| TriggerThreshold | Número inteiro | A parte do número do limiar de resultados necessário para gerar um alerta. |
| TriggerType | String | O tipo de regra a ser acionada.
Scheduled ou NrtRun. |
Passos seguintes
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
- Monitorize o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e integridade das regras de análise.
- Referência de tabelas SentinelAudit