Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os campos na tabela SentinelHealth utilizados para monitorizar o estado de funcionamento dos recursos Microsoft Sentinel. Com a funcionalidade Microsoft Sentinel monitorização do estado de funcionamento, pode controlar o funcionamento adequado do SIEM e obter informações sobre quaisquer desfasamentos de estado de funcionamento no seu ambiente.
Saiba como consultar e utilizar a tabela de estado de funcionamento para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente:
- Para conectores de dados
- Para regras de automatização e manuais de procedimentos
- Para regras de análise
A funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel abrange diferentes tipos de recursos (veja os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas seguintes tabelas aplicam-se entre tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
Esquema de colunas da tabela SentinelHealth
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelHealth:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | Cadeia de caracteres | O ID do inquilino da área de trabalho Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu o evento de estado de funcionamento. |
| OperationName | Cadeia de caracteres | A operação de estado de funcionamento. Os valores possíveis dependem do tipo de recurso. Veja Nomes de operações para diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | Cadeia de caracteres | O identificador exclusivo do recurso no qual ocorreu o evento de estado de funcionamento e a área de trabalho Microsoft Sentinel associada. |
| SentinelResourceName | Cadeia de caracteres | O nome do recurso (conector, regra ou manual de procedimentos). |
| Estado | Cadeia de caracteres | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Veja Nomes de operações para diferentes tipos de recursos para obter detalhes. |
| Descrição | Cadeia de caracteres | Descreve a operação, incluindo os dados expandidos conforme necessário. Para falhas, isto pode incluir detalhes do motivo da falha. |
| Motivo | Enum | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Pode encontrar razões mais detalhadas no campo Descrição . |
| WorkspaceId | Cadeia de caracteres | O GUID da área de trabalho no qual ocorreu o problema de estado de funcionamento. O Identificador de Recursos Azure completo está disponível na coluna SentinelResourceID. |
| SentinelResourceType | Cadeia de caracteres | O tipo de recurso Microsoft Sentinel a ser monitorizado. Valores possíveis: Data connector, , Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | Cadeia de caracteres | Uma classificação de recursos no tipo de recurso. - Para conectores de dados, este é o tipo de origem de dados ligada. - Para regras de análise, este é o tipo de regra. |
| RecordId | Cadeia de caracteres | Um identificador exclusivo para o registo que pode ser partilhado com a equipa de suporte para uma melhor correlação, conforme necessário. |
| ExtendedProperties | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | Cadeia de caracteres | SentinelHealth |
Nomes de operações para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estados |
|---|---|---|
| Recoletores de dados | Obtenção de dados status alteração __________________ Resumo da falha de obtenção de dados |
Êxito Falha _____________ Informativo |
| Regras de automatização | Execução da regra de automatização | Êxito Êxito parcial Falha |
| Manuais de procedimentos | O manual de procedimentos foi acionado | Êxito Falha |
| Regras de análise | Execução da regra de análise agendada Execução da regra de análise NRT |
Êxito Falha |
Propriedades estendidas
Conectores de dados
Para Data fetch status change eventos com um indicador de êxito, o saco contém uma propriedade "DestinationTable" para indicar onde os dados deste recurso são esperados. Para falhas, os conteúdos variam consoante o tipo de falha.
Regras de automatização
| ColumnName | ColumnType | Descrição |
|---|---|---|
| ActionsTriggeredSuccessfully | Número inteiro | Número de ações que a regra de automatização acionou com êxito. |
| IncidentName | Cadeia de caracteres | O ID de recurso do Microsoft Sentinel incidente no qual a regra foi acionada. |
| IncidentNumber | Cadeia de caracteres | O número sequencial da Microsoft Sentinel incidente, conforme mostrado no portal. |
| TotalActions | Número inteiro | Número de ações configuradas nesta regra de automatização. |
| AcionadoOn | Cadeia de caracteres |
Alert ou Incident. O objeto no qual a regra foi acionada. |
| TriggeredPlaybooks | Dinâmico (json) | Uma lista de manuais de procedimentos que esta regra de automatização acionou com êxito. Cada registo de manual de procedimentos na lista contém: - RunId: O ID de execução para este acionamento do fluxo de trabalho do Logic Apps - WorkflowId: O identificador exclusivo (ID completo do recurso arm) do recurso de fluxo de trabalho do Logic Apps. |
| AcionadoQuando | Cadeia de caracteres |
Created ou Updated. Indica se a regra foi acionada devido à criação ou atualização de um incidente ou alerta. |
Manuais de procedimentos
| ColumnName | ColumnType | Descrição |
|---|---|---|
| IncidentName | Cadeia de caracteres | O ID de recurso do Microsoft Sentinel incidente no qual a regra foi acionada. |
| IncidentNumber | Cadeia de caracteres | O número sequencial da Microsoft Sentinel incidente, conforme mostrado no portal. |
| RunId | Cadeia de caracteres | O ID de execução deste acionamento do fluxo de trabalho do Logic Apps. |
| TriggeredByName | Dinâmico (json) | Informações sobre a identidade (utilizador ou aplicação) que acionou o manual de procedimentos. |
| AcionadoOn | Cadeia de caracteres |
Incident. O objeto no qual o manual de procedimentos foi acionado.(Os manuais de procedimentos que utilizam o acionador de alerta são registados apenas se forem chamados por regras de automatização, pelo que essas execuções de manuais de procedimentos serão apresentadas na propriedade expandida TriggeredPlaybooks em eventos de regras de automatização.) |
Regras de análise
As propriedades expandidas das regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| AggregationKind | Cadeia de caracteres | A definição de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Número inteiro | O número de alertas gerados por esta execução da regra. |
| CorrelationId | Cadeia de caracteres | O ID de correlação de eventos no formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Número inteiro | O número de entidades removidas devido a problemas de mapeamento. |
| EntitiesGeneratedAmount | Número inteiro | O número de entidades geradas por esta execução da regra. |
| Issues | Cadeia de caracteres | |
| QueryEndTimeUTC | Datetime | A hora UTC em que a consulta começou a ser executada. |
| QueryFrequency | Datetime | Valor da definição "Executar consulta a cada" (HH:MM:SS). |
| QueryPerformanceIndicators | Cadeia de caracteres | |
| QueryPeriod | Datetime | Valor da definição "Dados de pesquisa dos últimos" (HH:MM:SS). |
| QueryResultAmount | Número inteiro | O número de resultados capturados pela consulta. A regra irá gerar um alerta se este número exceder o limiar conforme definido abaixo. |
| QueryStartTimeUTC | Datetime | A hora UTC em que a consulta concluiu a execução. |
| RuleId | Cadeia de caracteres | O ID da regra para esta regra de análise. |
| SupressãoDuração | Time | A duração da supressão da regra (HH:MM:SS). |
| SupressãoAtivada | Cadeia de caracteres | A supressão de regras está ativada.
True/False. |
| TriggerOperator | Cadeia de caracteres | A parte do operador do limiar de resultados necessário para gerar um alerta. |
| TriggerThreshold | Número inteiro | A parte do número do limiar de resultados necessário para gerar um alerta. |
| TriggerType | Cadeia de caracteres | O tipo de regra a ser acionada.
Scheduled ou NrtRun. |
Próximas etapas
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
- Monitorizar o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e a integridade das regras de análise.
- Referência de tabelas SentinelAudit