Referencia de las tablas de auditoría de Microsoft Sentinel
En este artículo se describen los campos de las tablas SentinelAudit, que se usan para auditar la actividad de los usuarios en los recursos de Microsoft Sentinel. Con la característica de auditoría de Microsoft Sentinel, puede controlar las acciones realizadas en su SIEM y obtener información sobre cualquier cambio realizado en su entorno y los usuarios que realizaron dichos cambios.
Descubra cómo consultar y usar la tabla de auditoría para una mayor supervisión y visibilidad de las acciones en su entorno.
Importante
La tabla de datos SentinelAudit se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Por el momento, la característica de auditoría de Microsoft Sentinel solo cubre el tipo de recurso de regla de análisis, aunque es posible que se agreguen otros tipos más adelante. Muchos de los campos de datos de las tablas siguientes se aplicarán a todos los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de la tabla SentinelAudit
La siguiente tabla describe las columnas y los datos generados en la tabla de datos SentinelAudit:
| ColumnName | ColumnType | Descripción |
|---|---|---|
| TenantId | String | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Datetime | Hora (UTC) a la que se produjo la actividad auditada. |
| OperationName | String | Operación de Azure que se está registrando. Por ejemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Identificador único del área de trabajo de Microsoft Sentinel y el conector asociado en el que se produjo la actividad auditada. |
| SentinelResourceName | String | Nombre del recurso. En el caso de las reglas de análisis, este es el nombre de la regla. |
| Status | String | Indica Success o Failure para el OperationName. |
| Descripción | String | Describe la operación, incluidos los datos extendidos según sea necesario. Por ejemplo, para los errores, esta columna puede indicar el motivo del error. |
| WorkspaceId | String | El GUID del área de trabajo en la que se produjo la actividad auditada. El identificador de recursos de Azure completo está disponible en la columna SentinelResourceID. |
| SentinelResourceType | String | Tipo de recurso de Microsoft Sentinel que se supervisa. |
| SentinelResourceKind | String | Tipo específico de recurso que se está supervisando. Por ejemplo, para las reglas de análisis: NRT. |
| CorrelationId | String | Identificador de correlación de eventos en formato GUID. |
| ExtendedProperties | Dinámico (JSON) | Un paquete JSON que varía según el valor OperationName y el estado del evento. Consulte Propiedades extendidas para más información. |
| Tipo | String | SentinelAudit |
Nombres de operación para distintos tipos de recursos.
| Tipos de recursos | Nombres de operación | Estados |
|---|---|---|
| Reglas de análisis | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Correcto Error |
Propiedades extendidas
Reglas de análisis
Las propiedades extendidas de las reglas de análisis reflejan ciertas configuraciones de reglas.
| ColumnName | ColumnType | Descripción |
|---|---|---|
| CallerIpAddress | String | La dirección IP desde donde se inició la acción |
| CallerName | String | Usuario o aplicación que inició la acción. |
| OriginalResourceState | Dinámico (JSON) | Contenedor JSON que describe la regla antes del cambio. |
| Motivo | String | Motivo por el que se produjo un error en la operación. Por ejemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[Cadena] | Matriz de las propiedades de la regla que fueron cambiadas por la actividad auditada. Por ejemplo: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nombre de la regla de análisis en la que se produjo la actividad auditada. |
| ResourceGroupName | String | Grupo de recursos del área de trabajo en la que se produjo la actividad auditada. |
| ResourceId | String | Identificador de recurso de la regla de análisis en la que se produjo la actividad auditada. |
| SubscriptionId | String | Id. de suscripción del área de trabajo en la que se produjo la actividad auditada. |
| UpdatedResourceState | Dinámico (JSON) | Contenedor JSON que describe la regla después del cambio. |
| Uri | String | Identificador de recurso de ruta de acceso completa de la regla de análisis. |
| WorkspaceId | String | Id. de recurso del área de trabajo en la que se produjo la actividad auditada. |
| WorkspaceName | String | Nombre del área de trabajo en la que se produjo la actividad auditada. |
Pasos siguientes
- Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
- Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
- Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
- Supervisión del estado de los conectores de datos.
- Supervisión del estado y la integridad de las reglas de análisis.
- Referencia de tablas de SentinelHealth