Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os campos na tabela SentinelHealth utilizados para monitorizar o estado de funcionamento dos recursos Microsoft Sentinel. Com a funcionalidade Microsoft Sentinel monitorização do estado de funcionamento, pode controlar o funcionamento adequado do SIEM e obter informações sobre quaisquer desfasamentos de estado de funcionamento no seu ambiente.
Saiba como consultar e utilizar a tabela de estado de funcionamento para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente:
- Para conectores de dados
- Para regras de automatização e manuais de procedimentos
- Para regras de análise
A funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel abrange diferentes tipos de recursos (veja os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas seguintes tabelas aplicam-se entre tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
Esquema de colunas da tabela SentinelHealth
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelHealth:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | Cadeia | O ID do inquilino da área de trabalho Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu o evento de estado de funcionamento. |
| OperationName | Cadeia | A operação de estado de funcionamento. Os valores possíveis dependem do tipo de recurso. Veja Nomes de operações para diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | Cadeia | O identificador exclusivo do recurso no qual ocorreu o evento de estado de funcionamento e a área de trabalho Microsoft Sentinel associada. |
| SentinelResourceName | Cadeia | O nome do recurso (conector, regra ou manual de procedimentos). |
| Estado | Cadeia | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Veja Nomes de operações para diferentes tipos de recursos para obter detalhes. |
| Descrição | Cadeia | Descreve a operação, incluindo os dados expandidos conforme necessário. Para falhas, isto pode incluir detalhes do motivo da falha. |
| Motivo | Enumeração | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Pode encontrar razões mais detalhadas no campo Descrição . |
| WorkspaceId | Cadeia | O GUID da área de trabalho no qual ocorreu o problema de estado de funcionamento. O Identificador de Recursos Azure completo está disponível na coluna SentinelResourceID. |
| SentinelResourceType | Cadeia | O tipo de recurso Microsoft Sentinel a ser monitorizado. Valores possíveis: Data connector, , Automation rule, PlaybookAnalytics rule |
| SentinelResourceKind | Cadeia | Uma classificação de recursos no tipo de recurso. - Para conectores de dados, este é o tipo de origem de dados ligada. - Para regras de análise, este é o tipo de regra. |
| RecordId | Cadeia | Um identificador exclusivo para o registo que pode ser partilhado com a equipa de suporte para uma melhor correlação, conforme necessário. |
| Propriedades Expandidas | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | Cadeia | SentinelHealth |
Nomes de operações para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estados |
|---|---|---|
| Recoletores de dados | Alteração do estado de obtenção de dados __________________ Resumo da falha de obtenção de dados |
Êxito Falha _____________ Informativo |
| Regras de automatização | Execução da regra de automatização | Êxito Êxito parcial Falha |
| Manuais de procedimentos | O manual de procedimentos foi acionado | Êxito Falha |
| Regras de análise | Execução da regra de análise agendada Execução da regra de análise NRT |
Êxito Falha |
Propriedades expandidas
Conectores de dados
Para Data fetch status change eventos com um indicador de êxito, o saco contém uma propriedade "DestinationTable" para indicar onde os dados deste recurso são esperados. Para falhas, os conteúdos variam consoante o tipo de falha.
Regras de automatização
| ColumnName | ColumnType | Descrição |
|---|---|---|
| ActionsTriggeredSuccessfully | Número inteiro | Número de ações que a regra de automatização acionou com êxito. |
| IncidentName | Cadeia | O ID de recurso do Microsoft Sentinel incidente no qual a regra foi acionada. |
| IncidentNumber | Cadeia | O número sequencial da Microsoft Sentinel incidente, conforme mostrado no portal. |
| TotalActions | Número inteiro | Número de ações configuradas nesta regra de automatização. |
| AcionadoOn | Cadeia |
Alert ou Incident. O objeto no qual a regra foi acionada. |
| TriggeredPlaybooks | Dinâmico (json) | Uma lista de manuais de procedimentos que esta regra de automatização acionou com êxito. Cada registo de manual de procedimentos na lista contém: - RunId: O ID de execução para este acionamento do fluxo de trabalho do Logic Apps - WorkflowId: O identificador exclusivo (ID completo do recurso arm) do recurso de fluxo de trabalho do Logic Apps. |
| AcionadoQuando | Cadeia |
Created ou Updated. Indica se a regra foi acionada devido à criação ou atualização de um incidente ou alerta. |
Manuais de procedimentos
| ColumnName | ColumnType | Descrição |
|---|---|---|
| IncidentName | Cadeia | O ID de recurso do Microsoft Sentinel incidente no qual a regra foi acionada. |
| IncidentNumber | Cadeia | O número sequencial da Microsoft Sentinel incidente, conforme mostrado no portal. |
| RunId | Cadeia | O ID de execução deste acionamento do fluxo de trabalho do Logic Apps. |
| TriggeredByName | Dinâmico (json) | Informações sobre a identidade (utilizador ou aplicação) que acionou o manual de procedimentos. |
| AcionadoOn | Cadeia |
Incident. O objeto no qual o manual de procedimentos foi acionado.(Os manuais de procedimentos que utilizam o acionador de alerta são registados apenas se forem chamados por regras de automatização, pelo que essas execuções de manuais de procedimentos serão apresentadas na propriedade expandida TriggeredPlaybooks em eventos de regras de automatização.) |
Regras de análise
As propriedades expandidas das regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| AggregationKind | Cadeia | A definição de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Número inteiro | O número de alertas gerados por esta execução da regra. |
| CorrelationId | Cadeia | O ID de correlação de eventos no formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Número inteiro | O número de entidades removidas devido a problemas de mapeamento. |
| EntitiesGeneratedAmount | Número inteiro | O número de entidades geradas por esta execução da regra. |
| Problemas | Cadeia | |
| QueryEndTimeUTC | Datetime | A hora UTC em que a consulta começou a ser executada. |
| QueryFrequency | Datetime | Valor da definição "Executar consulta a cada" (HH:MM:SS). |
| QueryPerformanceIndicators | Cadeia | |
| QueryPeriod | Datetime | Valor da definição "Dados de pesquisa dos últimos" (HH:MM:SS). |
| QueryResultAmount | Número inteiro | O número de resultados capturados pela consulta. A regra irá gerar um alerta se este número exceder o limiar conforme definido abaixo. |
| QueryStartTimeUTC | Datetime | A hora UTC em que a consulta concluiu a execução. |
| RuleId | Cadeia | O ID da regra para esta regra de análise. |
| SupressãoDuração | Hora | A duração da supressão da regra (HH:MM:SS). |
| SupressãoAtivada | Cadeia | A supressão de regras está ativada.
True/False. |
| TriggerOperator | Cadeia | A parte do operador do limiar de resultados necessário para gerar um alerta. |
| TriggerThreshold | Número inteiro | A parte do número do limiar de resultados necessário para gerar um alerta. |
| TriggerType | Cadeia | O tipo de regra a ser acionada.
Scheduled ou NrtRun. |
Passos seguintes
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
- Monitorizar o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e a integridade das regras de análise.
- Referência de tabelas SentinelAudit