Referência das tabelas de estado de funcionamento do Microsoft Sentinel

Este artigo descreve os campos na tabela SentinelHealth utilizados para monitorizar o estado de funcionamento dos recursos do Microsoft Sentinel. Com a funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel, pode controlar o funcionamento adequado do SIEM e obter informações sobre quaisquer desfasamentos de estado de funcionamento no seu ambiente.

Saiba como consultar e utilizar a tabela de estado de funcionamento para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente:

Importante

A tabela de dados SentinelHealth está atualmente em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

A funcionalidade de monitorização do estado de funcionamento do Microsoft Sentinel abrange diferentes tipos de recursos (veja os tipos de recursos no campo SentinelResourceType na primeira tabela abaixo). Muitos dos campos de dados nas seguintes tabelas aplicam-se a tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.

SentinelHealth table columns schema (Esquema de colunas de tabela SentinelHealth)

A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelHealth:

ColumnName ColumnType Description
TenantId String O ID de inquilino da área de trabalho do Microsoft Sentinel.
TimeGenerated Datetime A hora (UTC) em que ocorreu o evento de estado de funcionamento.
OperationName String A operação de estado de funcionamento. Os valores possíveis dependem do tipo de recurso.
Veja Nomes de operações para obter diferentes tipos de recursos para obter detalhes.
SentinelResourceId String O identificador exclusivo do recurso no qual ocorreu o evento de estado de funcionamento e a área de trabalho do Microsoft Sentinel associada.
SentinelResourceName String O nome do recurso (conector, regra ou manual de procedimentos).
Estado String Indica o resultado geral da operação. Os valores possíveis dependem do nome da operação.
Veja Nomes de operações para obter diferentes tipos de recursos para obter detalhes.
Descrição String Descreve a operação, incluindo dados expandidos conforme necessário. Para falhas, isto pode incluir detalhes do motivo da falha.
Razão Enumeração Mostra um motivo básico ou código de erro para a falha do recurso. Os valores possíveis dependem do tipo de recurso. Pode encontrar razões mais detalhadas no campo Descrição .
WorkspaceId String O GUID da área de trabalho no qual ocorreu o problema de estado de funcionamento. O Identificador de Recursos do Azure completo está disponível na coluna SentinelResourceID .
SentinelResourceType String O tipo de recurso do Microsoft Sentinel a ser monitorizado.
Valores possíveis: Data connector, , Automation rule, PlaybookAnalytics rule
SentinelResourceKind String Uma classificação de recursos no tipo de recurso.
- Para conectores de dados, este é o tipo de origem de dados ligada.
- Para regras de análise, este é o tipo de regra.
RecordId String Um identificador exclusivo para o registo que pode ser partilhado com a equipa de suporte para uma melhor correlação, conforme necessário.
Propriedades Expandidas Dinâmico (json) Um saco JSON que varia consoante o valor OperationName e o Estado do evento.
Veja Propriedades expandidas para obter detalhes.
Tipo String SentinelHealth

Nomes de operações para diferentes tipos de recursos

Tipos de recurso Nomes das operações Estados
Recoletores de dados Alteração do estado de obtenção de dados

__________________
Resumo da falha de obtenção de dados
Com êxito
Falha
_____________
Informativo
Regras de automatização Execução da regra de automatização Com êxito
Êxito parcial
Falha
Manuais de procedimentos O manual de procedimentos foi acionado Com êxito
Falha
Regras de análise Execução da regra de análise agendada
Execução da regra de análise NRT
Com êxito
Falha

Propriedades expandidas

Conectores de dados

Para Data fetch status change eventos com um indicador de êxito, o saco contém uma propriedade "DestinationTable" para indicar onde se espera que os dados deste recurso sejam encaminhados. Para falhas, os conteúdos variam consoante o tipo de falha.

Regras de automatização

ColumnName ColumnType Description
ActionsTriggeredSuccessfully Número inteiro Número de ações que a regra de automatização acionou com êxito.
IncidentName String O ID de recurso do incidente do Microsoft Sentinel no qual a regra foi acionada.
IncidentNumber String O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal.
TotalActions Número inteiro Número de ações configuradas nesta regra de automatização.
AcionadoOn String Alert ou Incident. O objeto no qual a regra foi acionada.
TriggeredPlaybooks Dinâmico (json) Uma lista de manuais de procedimentos que esta regra de automatização acionou com êxito.

Cada registo de manual de procedimentos na lista contém:
- RunId: O ID de execução para este acionamento do fluxo de trabalho do Logic Apps
- WorkflowId: O identificador exclusivo (ID de recurso do ARM completo) do recurso de fluxo de trabalho do Logic Apps.
AcionadoQuando String Created ou Updated. Indica se a regra foi acionada devido à criação ou atualização de um incidente ou alerta.

Manuais de procedimentos

ColumnName ColumnType Description
IncidentName String O ID de recurso do incidente do Microsoft Sentinel no qual a regra foi acionada.
IncidentNumber String O número sequencial do incidente do Microsoft Sentinel, conforme mostrado no portal.
RunId String O ID de execução para este acionamento do fluxo de trabalho do Logic Apps.
TriggeredByName Dinâmico (json) Informações sobre a identidade (utilizador ou aplicação) que acionou o manual de procedimentos.
AcionadoOn String Incident. O objeto no qual o manual de procedimentos foi acionado.
(Os manuais de procedimentos que utilizam o acionador de alerta são registados apenas se forem chamados por regras de automatização, pelo que essas execuções de manuais de procedimentos serão apresentadas na propriedade expandida TriggeredPlaybooks em eventos de regras de automatização.)

Regras de análise

As propriedades expandidas para regras de análise refletem determinadas definições de regras.

ColumnName ColumnType Description
AggregationKind String A definição de agrupamento de eventos. AlertPerResult ou SingleAlert.
AlertsGeneratedAmount Número inteiro O número de alertas gerados por esta execução da regra.
CorrelationId String O ID de correlação de eventos no formato GUID.
EntitiesDroppedDueToMappingIssuesAmount Número inteiro O número de entidades removidas devido a problemas de mapeamento.
EntitiesGeneratedAmount Número inteiro O número de entidades geradas por esta execução da regra.
Problemas String
QueryEndTimeUTC Datetime A hora UTC em que a consulta começou a ser executada.
QueryFrequency Datetime Valor da definição "Executar consulta a cada" (HH:MM:SS).
QueryPerformanceIndicators String
QueryPeriod Datetime Valor da definição "Dados de pesquisa da última" (HH:MM:SS).
QueryResultAmount Número inteiro O número de resultados capturados pela consulta.
A regra irá gerar um alerta se este número exceder o limiar conforme definido abaixo.
QueryStartTimeUTC Datetime A hora UTC em que a consulta concluiu a execução.
RuleId String O ID da regra para esta regra de análise.
SupressãoDuração Hora A duração da supressão de regras (HH:MM:SS).
SupressãoEnabled String A supressão de regras está ativada. True/False.
TriggerOperator String A parte do operador do limiar de resultados necessário para gerar um alerta.
TriggerThreshold Número inteiro A parte do número do limiar de resultados necessário para gerar um alerta.
TriggerType String O tipo de regra a ser acionada. Scheduled ou NrtRun.

Passos seguintes