Referenční informace k tabulkám auditu služby Microsoft Sentinel
Tento článek popisuje pole v tabulkách SentinelAudit, která se používají k auditování aktivity uživatelů v prostředcích služby Microsoft Sentinel. Pomocí funkce auditování služby Microsoft Sentinel můžete mít přehled o akcích provedených ve vašem systému SIEM a získat informace o všech změnách provedených ve vašem prostředí a uživatelích, kteří tyto změny provedli.
Naučte se dotazovat tabulku auditu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí.
Důležité
Tabulka dat SentinelAudit je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, ve verzi Preview nebo jinak ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .
Funkce auditu služby Microsoft Sentinel v současné době pokrývá pouze typ prostředku analytického pravidla, i když další typy můžete přidat později. Mnoho datových polí v následujících tabulkách bude platit pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Popisy níže budou indikovat jeden nebo druhý způsob.
SentinelAudit – schéma sloupců tabulky
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelAudit:
| ColumnName | ColumnType | Description |
|---|---|---|
| ID tenanta | Řetězec | ID tenanta pro pracovní prostor služby Microsoft Sentinel. |
| TimeGenerated | Datum a čas | Čas (UTC), kdy došlo k auditované aktivitě. |
| Název operace | Řetězec | Zaznamenává se operace Azure. Příklad: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Řetězec | Jedinečný identifikátor pracovního prostoru služby Microsoft Sentinel a přidruženého prostředku, na kterém došlo k auditované aktivitě. |
| SentinelResourceName | Řetězec | Název prostředku. U analytických pravidel se jedná o název pravidla. |
| Stav | Řetězec | Označuje Success nebo Failure pro OperationName. |
| Popis | Řetězec | Popisuje operaci, včetně rozšířených dat podle potřeby. Například v případě selhání může tento sloupec uvádět důvod selhání. |
| Id pracovního prostoru | Řetězec | Identifikátor GUID pracovního prostoru, na kterém došlo k auditované aktivitě. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID . |
| SentinelResourceType | Řetězec | Monitorovaný typ prostředku služby Microsoft Sentinel |
| SentinelResourceKind | Řetězec | Konkrétní typ monitorovaného prostředku. Například pro analytická pravidla: NRT. |
| Correlationid | Řetězec | ID korelace události ve formátu GUID. |
| Rozšířené vlastnosti | Dynamické (json) | Kontejner JSON, který se liší podle hodnoty OperationName a Status události. Podrobnosti najdete v části Rozšířené vlastnosti . |
| Typ | Řetězec | SentinelAudit |
Názvy operací pro různé typy prostředků
| Typy prostředků | Názvy operací | Stavy |
|---|---|---|
| Analytická pravidla | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Selhání |
Rozšířené vlastnosti
Analytická pravidla
Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIpAddress | Řetězec | IP adresa, ze které byla akce zahájena. |
| CallerName | Řetězec | Uživatel nebo aplikace, které akci zahájily. |
| Původní stav zdroje | Dynamické (json) | Balíček JSON, který popisuje pravidlo před změnou. |
| Důvod | Řetězec | Důvod, proč operace selhala. Příklad: No permissions. |
| ResourceDiffMemberNames | Pole[Řetězec] | Pole vlastností pravidla, které byly změněny auditovanou aktivitou. Příklad: ['custom_details','look_back']. |
| Název zobrazení prostředku | Řetězec | Název analytického pravidla, na kterém došlo k auditované aktivitě. |
| ResourceGroupName | Řetězec | Skupina prostředků pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| ResourceId | Řetězec | ID prostředku analytického pravidla, u kterého došlo k auditované aktivitě. |
| Id předplatného | Řetězec | ID předplatného pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| UpdatedResourceState | Dynamické (json) | Taška JSON, která popisuje pravidlo po změně. |
| Uri | Řetězec | ID prostředku úplné cesty analytického pravidla. |
| Id pracovního prostoru | Řetězec | ID prostředku pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| Název pracovního prostoru | Řetězec | Název pracovního prostoru, ve kterém došlo k auditované aktivitě. |
Další kroky
- Přečtěte si o auditování a monitorování stavu ve službě Microsoft Sentinel.
- Zapněte auditování a monitorování stavu ve službě Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelHealth