Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i campi della tabella SentinelHealth usati per monitorare l'integrità delle risorse Microsoft Sentinel. Con la funzionalità di monitoraggio dell'integrità Microsoft Sentinel, è possibile tenere sotto controllo il corretto funzionamento del SIEM e ottenere informazioni su eventuali deviazioni di integrità nell'ambiente.
Informazioni su come eseguire query e usare la tabella di integrità per un monitoraggio e una visibilità più approfonditi delle azioni nell'ambiente:
la funzionalità di monitoraggio dell'integrità di Microsoft Sentinel copre diversi tipi di risorse. Vedere i tipi di risorse nel campo SentinelResourceType nella prima tabella seguente. Molti dei campi dati nelle tabelle seguenti si applicano tra i tipi di risorse, ma alcune hanno applicazioni specifiche per ogni tipo. Le descrizioni seguenti indicheranno un modo o l'altro.
Schema delle colonne della tabella SentinelHealth
La tabella seguente descrive le colonne e i dati generati nella tabella dati SentinelHealth:
| Columnname | Columntype | Descrizione |
|---|---|---|
| TenantId | Stringa | ID tenant per l'area di lavoro Microsoft Sentinel. |
| TimeGenerated | Datetime | Ora (UTC) in cui si è verificato l'evento di integrità. |
| Nomeoperazione | Stringa | Operazione di integrità. I valori possibili dipendono dal tipo di risorsa. Per informazioni dettagliate, vedere Nomi delle operazioni per tipi di risorse diversi . |
| SentinelResourceId | Stringa | Identificatore univoco della risorsa in cui si è verificato l'evento di integrità e dell'area di lavoro Microsoft Sentinel associata. |
| SentinelResourceName | Stringa | Nome della risorsa (connettore, regola o playbook). |
| Stato | Stringa | Indica il risultato complessivo dell'operazione. I valori possibili dipendono dal nome dell'operazione. Per informazioni dettagliate, vedere Nomi delle operazioni per tipi di risorse diversi . |
| Descrizione | Stringa | Descrive l'operazione, inclusi i dati estesi in base alle esigenze. Per gli errori, questo può includere i dettagli del motivo dell'errore. |
| Motivo | Enum | Mostra un motivo o un codice di errore di base per l'errore della risorsa. I valori possibili dipendono dal tipo di risorsa. I motivi più dettagliati sono disponibili nel campo Descrizione . |
| WorkspaceId | Stringa | GUID dell'area di lavoro in cui si è verificato il problema di integrità. L'identificatore di risorsa Azure completo è disponibile nella colonna SentinelResourceID. |
| SentinelResourceType | Stringa | Tipo di risorsa Microsoft Sentinel monitorato. Valori possibili: Data connector, Automation rule, , PlaybookAnalytics rule |
| SentinelResourceKind | Stringa | Classificazione delle risorse all'interno del tipo di risorsa. - Per i connettori dati, questo è il tipo di origine dati connessa. - Per le regole di analisi, questo è il tipo di regola. |
| Recordid | Stringa | Identificatore univoco per il record che può essere condiviso con il team di supporto per una migliore correlazione in base alle esigenze. |
| ExtendedProperties | Dinamico (json) | Un contenitore JSON che varia in base al valore OperationName e allo stato dell'evento. Per informazioni dettagliate, vedere Proprietà estese . |
| Tipo | Stringa | SentinelHealth |
Nomi delle operazioni per tipi di risorse diversi
| Tipi di risorse | Nomi delle operazioni | Stati |
|---|---|---|
| Agenti di raccolta dati | Modifica dello stato di recupero dei dati __________________ Riepilogo degli errori di recupero dati |
Esito positivo Fallimento _____________ Informativa |
| Regole di automazione | Esecuzione della regola di automazione | Esito positivo Esito positivo parziale Fallimento |
| Playbook | Playbook attivato | Esito positivo Fallimento |
| Regole di analisi | Esecuzione della regola di analisi pianificata Esecuzione della regola di analisi NRT |
Esito positivo Fallimento |
Proprietà estese
Connettori dati
Per Data fetch status change gli eventi con un indicatore di esito positivo, il contenitore contiene una proprietà 'DestinationTable' per indicare dove dovrebbero atterrare i dati di questa risorsa. Per gli errori, il contenuto varia a seconda del tipo di errore.
Regole di automazione
| Columnname | Columntype | Descrizione |
|---|---|---|
| ActionsTriggeredSuccessfully | Numero intero | Numero di azioni attivate correttamente dalla regola di automazione. |
| IncidentName | Stringa | ID risorsa dell'evento imprevisto Microsoft Sentinel in cui è stata attivata la regola. |
| IncidentNumber | Stringa | Numero sequenziale dell'evento imprevisto Microsoft Sentinel, come illustrato nel portale. |
| TotalActions | Numero intero | Numero di azioni configurate in questa regola di automazione. |
| TriggeredOn | Stringa |
Alert o Incident. Oggetto su cui è stata attivata la regola. |
| TriggeredPlaybooks | Dinamico (json) | Elenco di playbook attivati correttamente da questa regola di automazione. Ogni record del playbook nell'elenco contiene: - RunId: ID di esecuzione per questo trigger del flusso di lavoro app per la logica - WorkflowId: Identificatore univoco (ID risorsa ARM completo) della risorsa del flusso di lavoro di App per la logica. |
| AttivatoQuando | Stringa |
Created o Updated. Indica se la regola è stata attivata a causa della creazione o dell'aggiornamento di un evento imprevisto o di un avviso. |
Playbook
| Columnname | Columntype | Descrizione |
|---|---|---|
| IncidentName | Stringa | ID risorsa dell'evento imprevisto Microsoft Sentinel in cui è stata attivata la regola. |
| IncidentNumber | Stringa | Numero sequenziale dell'evento imprevisto Microsoft Sentinel, come illustrato nel portale. |
| RunId | Stringa | ID di esecuzione per questo trigger del flusso di lavoro app per la logica. |
| TriggeredByName | Dinamico (json) | Informazioni sull'identità (utente o applicazione) che ha attivato il playbook. |
| TriggeredOn | Stringa |
Incident. Oggetto su cui è stato attivato il playbook.I playbook che usano il trigger di avviso vengono registrati solo se vengono chiamati dalle regole di automazione, quindi tali esecuzioni del playbook verranno visualizzate nella proprietà estesa TriggeredPlaybooks negli eventi delle regole di automazione. |
Regole di analisi
Le proprietà estese per le regole di analisi riflettono determinate impostazioni delle regole.
| Columnname | Columntype | Descrizione |
|---|---|---|
| AggregationKind | Stringa | Impostazione di raggruppamento di eventi.
AlertPerResult o SingleAlert. |
| AlertsGeneratedAmount | Numero intero | Numero di avvisi generati dall'esecuzione della regola. |
| Correlationid | Stringa | ID di correlazione dell'evento in formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Numero intero | Numero di entità eliminate a causa di problemi di mapping. |
| EntitiesGeneratedAmount | Numero intero | Numero di entità generate dall'esecuzione della regola. |
| Problemi | Stringa | |
| QueryEndTimeUTC | Datetime | Ora UTC in cui è iniziata l'esecuzione della query. |
| QueryFrequency | Datetime | Valore dell'impostazione "Esegui query ogni" (HH:MM:SS). |
| QueryPerformanceIndicators | Stringa | |
| QueryPeriod | Datetime | Valore dell'impostazione "Cerca dati dall'ultima" (HH:MM:SS). |
| QueryResultAmount | Numero intero | Numero di risultati acquisiti dalla query. La regola genererà un avviso se questo numero supera la soglia definita di seguito. |
| QueryStartTimeUTC | Datetime | Ora UTC in cui la query ha completato l'esecuzione. |
| RuleId | Stringa | ID regola per questa regola di analisi. |
| SuppressionDuration | Ora | Durata dell'eliminazione delle regole (HH:MM:SS). |
| SuppressionEnabled | Stringa | Eliminazione delle regole abilitata.
True/False. |
| TriggerOperator | Stringa | Parte dell'operatore della soglia dei risultati necessaria per generare un avviso. |
| TriggerThreshold | Numero intero | Parte del numero della soglia di risultati necessaria per generare un avviso. |
| TriggerType | Stringa | Tipo di regola attivata.
Scheduled o NrtRun. |
Passaggi successivi
- Informazioni sul controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Monitorare l'integrità delle regole di automazione e dei playbook.
- Monitorare l'integrità dei connettori dati.
- Monitorare l'integrità e l'integrità delle regole di analisi.
- Informazioni di riferimento sulle tabelle SentinelAudit