Référence de table d’intégrité Microsoft Sentinel
Cet article décrit les champs de la table SentinelHealth utilisés pour monitorer l’intégrité des ressources Microsoft Sentinel. Avec la fonctionnalité de monitoring de l’intégrité de Microsoft Sentinel, vous pouvez surveiller le bon fonctionnement de votre SIEM et obtenir des informations sur les dérives de l’intégrité dans votre environnement.
Découvrez comment interroger et utiliser la table d’intégrité pour un monitoring et une visibilité approfondis des actions dans votre environnement :
- Pour les connecteurs de données
- Pour les règles d’automatisation et les playbooks
- Pour les règles analytiques
Important
La table de données SentinelHealth est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
La fonctionnalité de surveillance de l’intégrité de Microsoft Sentinel couvre différents types de ressources (consultez les types de ressources dans le champ SentinelResourceType dans la première table ci-dessous). La plupart des champs de données dans les tableaux suivants s’appliquent à plusieurs types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent l’une ou l’autre manière.
Schéma des colonnes de la table SentinelHealth
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelHealth :
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Datetime | Heure (UTC) à laquelle l’événement d’intégrité s’est produit. |
| OperationName | String | Opération d’intégrité. Les valeurs possibles dépendent du type de ressource. Pour plus d’informations, consultez Noms des opérations pour les différents types de ressources. |
| SentinelResourceId | String | Identificateur unique de la ressource sur laquelle l’événement d’intégrité s’est produit et son espace de travail Microsoft Sentinel associé. |
| SentinelResourceName | String | Nom de la ressource (connecteur, règle ou playbook). |
| État | String | Indique le résultat global de l’opération. Les valeurs possibles dépendent du nom de l’opération. Pour plus d’informations, consultez Noms des opérations pour les différents types de ressources. |
| Description | String | Décrit l’opération, y compris les données étendues si nécessaire. Pour les échecs, cela peut inclure des détails sur la raison de l’échec. |
| Motif | Énumération | Affiche une raison de base ou un code d’erreur pour l’échec de la ressource. Les valeurs possibles dépendent du type de ressource. Vous trouverez des raisons plus détaillées dans le champ Description. |
| WorkspaceId | String | GUID de l’espace de travail sur lequel le problème d’intégrité s’est produit. L’intégralité de l’identificateur de ressource Azure est disponible dans la colonne SentinelResourceID. |
| SentinelResourceType | String | Type de ressource Microsoft Sentinel en cours d’analyse. Valeurs possibles : Data connector, Automation rule, Playbook, Analytics rule |
| SentinelResourceKind | String | Classification de ressources dans le type de ressource. - Pour les connecteurs de données, il s’agit du type de source de données connectée. – Pour les règles d’analyse, il s’agit du type de règle. |
| RecordId | String | Identificateur unique de l’enregistrement qui peut être partagé avec l’équipe de support pour une meilleure corrélation en fonction des besoins. |
| ExtendedProperties | Dynamique (conteneur JSON) | Conteneur JSON qui varie en fonction de la valeur OperationName et de l'état de l’événement. Consultez la section Propriétés étendues pour plus d’informations. |
| Type | String | SentinelHealth |
Noms des opérations pour les différents types de ressources
| Types de ressource | Noms des opérations | États |
|---|---|---|
| Collecteurs de données | Modification de l’état de l’extraction des données __________________ Résumé des échecs d’extraction de données |
Succès Échec _____________ Informationnel |
| Règles d’automatisation | Exécution de la règle d’automatisation | Succès Réussite partielle Échec |
| Playbooks | Le playbook a été déclenché | Succès Échec |
| Règles analytiques | Exécution d’une règle d’analyse planifiée Exécution d’une règle d’analyse NRT |
Succès Échec |
Propriétés étendues
Connecteurs de données
Pour les événements Data fetch status change avec un indicateur de réussite, le sac contient une propriété « DestinationTable » pour indiquer l’emplacement des données de cette ressource. Pour les échecs, le contenu varie en fonction du type d’échec.
Règles d’automatisation
| ColumnName | ColumnType | Description |
|---|---|---|
| ActionsTriggeredSuccessfully | Integer | Nombre d’actions que la règle d’automatisation a correctement déclenchées. |
| IncidentName | String | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| IncidentNumber | String | Numéro séquentiel de l’incident Microsoft Sentinel, comme indiqué dans le portail. |
| TotalActions | Integer | Nombre d’actions configurées dans cette règle d’automatisation. |
| TriggeredOn | String |
Alert ou Incident. Objet sur lequel la règle a été déclenchée. |
| TriggeredPlaybooks | Dynamique (conteneur JSON) | Liste des playbooks que cette règle d’automatisation a déclenchés avec succès. Chaque enregistrement de playbook dans la liste contient : - RunId : ID d’exécution de ce déclenchement du workflow Logic Apps - WorkflowId : Identificateur unique (ID de ressource ARM complet) de la ressource de workflow Logic Apps. |
| TriggeredWhen | String |
Created ou Updated. Indique si la règle a été déclenchée en raison de la création ou de la mise à jour d’un incident ou d’une alerte. |
Playbooks
| ColumnName | ColumnType | Description |
|---|---|---|
| IncidentName | String | ID de ressource de l’incident Microsoft Sentinel sur lequel la règle a été déclenchée. |
| IncidentNumber | String | Numéro séquentiel de l’incident Microsoft Sentinel, comme indiqué dans le portail. |
| RunId | String | ID d’exécution de ce déclenchement du workflow Logic Apps. |
| TriggeredByName | Dynamique (conteneur JSON) | Informations sur l’identité (utilisateur ou application) qui a déclenché le playbook. |
| TriggeredOn | String |
Incident. Objet sur lequel le playbook a été déclenché.(Les playbooks utilisant le déclencheur d’alerte sont journalisés uniquement s’ils sont appelés par des règles d’automatisation, de sorte que ces exécutions de playbooks s’affichent dans la propriété étendue TriggeredPlaybooks sous les événements de règle d’automatisation.) |
Règles analytiques
Les propriétés étendues des règles d’analyse reflètent certains paramètres de règle.
| ColumnName | ColumnType | Description |
|---|---|---|
| AggregationKind | String | Paramètre de regroupement d’événements.
AlertPerResult ou SingleAlert. |
| AlertsGeneratedAmount | Integer | Nombre d’alertes générées par cette exécution de la règle. |
| CorrelationId | String | ID de corrélation d’événement au format GUID. |
| EntitiesDroppedDueToMappingIssuesAmount | Integer | Nombre d’entités supprimées en raison de problèmes de mappage. |
| EntitiesGeneratedAmount | Integer | Nombre d’entités générées par cette exécution de la règle. |
| Problèmes | String | |
| QueryEndTimeUTC | Datetime | Heure UTC de début d’exécution de la requête. |
| QueryFrequency | Datetime | Valeur du paramètre « Exécuter la requête chaque » (HH:MM:SS). |
| QueryPerformanceIndicators | String | |
| QueryPeriod | Datetime | Valeur du paramètre « Rechercher les données de la dernière » (HH:MM:SS). |
| QueryResultAmount | Integer | Nombre de résultats renvoyés par la requête. La règle génère une alerte si ce nombre dépasse le seuil défini ci-dessous. |
| QueryStartTimeUTC | Datetime | Heure UTC de fin d’exécution de la requête. |
| ID de la règle | String | ID de règle pour cette règle d’analyse. |
| SuppressionDuration | Temps | Durée de suppression de la règle (HH:MM:SS). |
| SuppressionEnabled | String | La suppression des règles est-elle activée.
True/False. |
| TriggerOperator | String | Partie opérateur du seuil de résultats requis pour générer une alerte. |
| TriggerThreshold | Integer | Partie du nombre du seuil de résultats requis pour générer une alerte. |
| TriggerType | String | Type de règle en cours de déclenchement.
Scheduled ou NrtRun. |
Étapes suivantes
- Découvrez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et playbooks.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité de vos règles d’analyse.
- Référence des tables SentinelAudit