Referência das tabelas de integridade do Microsoft Sentinel
Este artigo descreve os campos na tabela SentinelHealth usada para monitorar a integridade dos recursos do Microsoft Sentinel. Com o recurso de monitoramento de integridade do Microsoft Sentinel, você pode acompanhar o funcionamento adequado do SIEM e obter informações sobre problemas de integridade em seu ambiente.
Saiba como consultar e usar a tabela de integridade para um monitoramento mais profundo e visibilidade das ações em seu ambiente:
Importante
A tabela de dados SentinelHealth está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O recurso de monitoramento de integridade do Microsoft Sentinel cobre diferentes tipos de recursos (consulte os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas tabelas a seguir se aplicam a tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão uma forma ou outra.
Esquema de colunas da tabela SentinelHealth
A seguinte tabela descreve as colunas e os dados gerados na tabela de dados SentinelHealth:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | String | A ID do locatário do workspace do Microsoft Sentinel. |
| TimeGenerated | Datetime | Horário (UTC) em que o evento de integridade ocorreu. |
| OperationName | String | A operação de integridade. Os valores possíveis dependem do tipo de recurso. Confira Nomes de operação para diferentes tipos de recursos para obter detalhes. |
| SentinelResourceId | String | O identificador exclusivo do recurso no qual o evento de integridade ocorreu e o respectivo workspace associado do Microsoft Sentinel. |
| SentinelResourceName | String | Nome do recurso (conector, regra ou guia estratégico). |
| Status | String | Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação. Confira Nomes de operação para diferentes tipos de recursos para obter detalhes. |
| Descrição | String | Descreve a operação, incluindo dados estendidos conforme necessário. Para falhas, isso pode incluir detalhes do motivo da falha. |
| Motivo | Enumeração | Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Os motivos mais detalhados podem ser encontrados no campo Descrição. |
| espaços de trabalhoId | String | O GUID do workspace no qual ocorreu o problema de integridade. O identificador completo de Recurso do Azure está disponível na coluna SentinelResourceID. |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel que está sendo monitorado. Valores possíveis: Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Uma classificação de recursos dentro do tipo de recurso. – Para conectores de dados, esse é o tipo de fonte de dados conectada. - Para as regras de análise, este é o tipo de regra. |
| RecordId | String | Um identificador exclusivo para o registro que pode ser compartilhado com a equipe de suporte para melhor correlação, conforme necessário. |
| ExtendedProperties | Dinâmico (JSON) | Um recipiente JSON que varia de acordo com o valor de OperationName e o Status do evento. Confira Propriedades estendidas para obter mais detalhes. |
| Tipo | String | SentinelHealth |
Nomes de operação para diferentes tipos de recursos
| Tipos de recurso | Nomes de operação | Status |
|---|---|---|
| Coletores de dados | Alteração do status de busca de dados __________________ Resumo de falhas de busca de dados |
Sucesso Falha _____________ Informativo |
| Regras de automação | Execução de regra de automação | Sucesso Êxito parcial Falha |
| Guias estratégicos | O guia estratégico foi disparado | Sucesso Falha |
| Regras de análise | Execução agendada de regra de análise Execução da regra de análise NRT |
Sucesso Falha |
Propriedades estendidas
Conectores de dados
Para eventos Data fetch status change com um indicador de êxito, o recipiente contém uma propriedade 'DestinationTable' para indicar onde os dados desse recurso devem chegar. Para falhas, o conteúdo varia dependendo do tipo de falha.
Regras de automação
| ColumnName | ColumnType | Descrição |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Número de ações que a regra de automação disparou com êxito. |
| IncidentName | String | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi disparada. |
| IncidentNumber | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| TotalActions | Integer | Número de ações configuradas nesta regra de automação. |
| TriggeredOn | String |
Alert ou Incident. O objeto no qual a regra foi disparada. |
| TriggeredPlaybooks | Dinâmico (JSON) | Uma lista de guias estratégicos que essa regra de automação disparou com êxito. Cada registro de guia estratégico na lista contém: - RunId: a ID de execução para esse gatilho do fluxo de trabalho dos Aplicativos Lógicos - WorkflowId: o identificador exclusivo (ID de recurso ARM completa) do recurso de fluxo de trabalho dos Aplicativos Lógicos. |
| TriggeredWhen | String |
Created ou Updated. Indica se a regra foi disparada devido à criação ou atualização de um incidente ou alerta. |
Guias estratégicos
| ColumnName | ColumnType | Descrição |
|---|---|---|
| IncidentName | String | A ID do recurso do incidente do Microsoft Sentinel no qual a regra foi disparada. |
| IncidentNumber | String | O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal. |
| RunId | String | A ID de execução para esse gatilho do fluxo de trabalho dos Aplicativos Lógicos. |
| TriggeredByName | Dinâmico (JSON) | Informações sobre a identidade (usuário ou aplicativo) que disparou o guia estratégico. |
| TriggeredOn | String |
Incident. O objeto no qual o guia estratégico foi disparado.(Os guias estratégicos que usam o gatilho de alerta serão registrados somente se forem chamados por regras de automação, portanto, essas execuções de guia estratégico aparecerão na propriedade estendida TriggeredPlaybooks em eventos de regra de automação.) |
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| AggregationKind | String | Configuração de agrupamento de eventos.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Integer | O número de alertas gerados por esta execução da regra. |
| CorrelationId | String | A ID de correlação de eventos em formato GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Número de entidades removidas devido a problemas de mapeamento. |
| EntitiesGeneratedAmount | Integer | Número de entidades geradas por esta execução da regra. |
| Problemas | String | |
| QueryEndTimeUTC | Datetime | Horário UTC quando a consulta foi executada. |
| QueryFrequency | Datetime | Valor da configuração "Executar consulta a cada" (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Valor da configuração "Dados de pesquisa da última" (HH:MM:SS). |
| QueryResultAmount | Integer | Número de resultados capturados pela consulta. A regra gerará um alerta se este número exceder o limite definido abaixo. |
| QueryStartTimeUTC | Datetime | Horário UTC em que a consulta concluiu sua execução. |
| ruleId | String | A ID de regra para esta regra de análise. |
| SuppressionDuration | Hora | Duração da supressão de regra (HH:MM:SS). |
| SuppressionEnabled | String | A supressão de regras está habilitada.
True/False. |
| TriggerOperator | String | A porção do operador do limite de resultados necessários para gerar um alerta. |
| TriggerThreshold | Integer | O número da porção do limite de resultados necessários para gerar um alerta. |
| TriggerType | String | O tipo de regra que está sendo disparada.
Scheduled ou NrtRun. |
Próximas etapas
- Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras de automação e guias estratégicos.
- Monitore a integridade de seus conectores de dados.
- Monitorar a integridade de suas regras de análise.
- Referência de tabelas do SentinelAudit