Référence de table d’audit Microsoft Sentinel
Cet article décrit les champs des tables SentinelAudit, qui sont utilisées pour l’audit de l’activité des utilisateurs dans les ressources Microsoft Sentinel. Avec la fonctionnalité d’audit de Microsoft Sentinel, vous pouvez suivre les actions effectuées dans votre SIEM et obtenir des informations sur les modifications apportées à votre environnement et sur les utilisateurs qui ont apporté ces modifications.
Découvrez comment interroger et utiliser la table d’audit pour un monitoring et une visibilité approfondis des actions dans votre environnement :
Important
La table de données SentinelAudit est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
La fonctionnalité d’audit de Microsoft Sentinel couvre actuellement uniquement le type de ressource de règle d’analytique, bien que d’autres types puissent être ajoutés ultérieurement. La plupart des champs de données dans les tableaux suivants s’appliqueront à plusieurs types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent l’une ou l’autre manière.
Schéma des colonnes de table SentinelAudit
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelAudit :
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Datetime | Heure (UTC) à laquelle l’activité d’audit s’est produite. |
| OperationName | String | Opération Azure en cours d’enregistrement. Par exemple : - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Identificateur unique de l’espace de travail Microsoft Sentinel et de la ressource associée sur laquelle l’activité d’audit s’est produite. |
| SentinelResourceName | String | Nom de la ressource. Pour les règles d’analyse, il s’agit du nom de règle. |
| État | String | Indique Success ou Failure pour OperationName. |
| Description | String | Décrit l’opération, y compris les données étendues si nécessaire. Par exemple, pour les échecs, cette colonne peut indiquer la raison de l’échec. |
| WorkspaceId | String | Identificateur unique (GUID) de l’espace de travail sur lequel l’activité d’audit s’est produite. L’intégralité de l’identificateur de ressource Azure est disponible dans la colonne SentinelResourceID. |
| SentinelResourceType | String | Type de ressource Microsoft Sentinel en cours d’analyse. |
| SentinelResourceKind | String | Type spécifique de ressource surveillée. Par exemple, pour les règles d’analytique : NRT. |
| CorrelationId | String | ID de corrélation d’événement au format GUID. |
| ExtendedProperties | Dynamique (conteneur JSON) | Conteneur JSON qui varie en fonction de la valeur OperationName et de l'état de l’événement. Consultez la section Propriétés étendues pour plus d’informations. |
| Type | String | SentinelAudit |
Noms des opérations pour les différents types de ressources
| Types de ressource | Noms des opérations | États |
|---|---|---|
| Règles analytiques | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Succès Échec |
Propriétés étendues
Règles analytiques
Les propriétés étendues des règles d’analyse reflètent certains paramètres de règle.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIPAddress | String | Adresse IP à partir de laquelle l’action a été initiée. |
| CallerName | String | Utilisateur ou application qui a lancé l’action. |
| OriginalResourceState | Dynamique (conteneur JSON) | Conteneur JSON qui décrit la règle avant la modification. |
| Motif | String | Raison de l’échec de l’opération. Par exemple : No permissions. |
| ResourceDiffMemberNames | Array[String] | Tableau des propriétés de règle modifiées par l’activité auditée. Par exemple : ['custom_details','look_back']. |
| ResourceDisplayName | String | Nom de la règle analytique sur laquelle l’activité d’audit s’est produite. |
| ResourceGroupName | String | Groupe de ressources de l’espace de travail sur lequel l’activité d’audit s’est produite. |
| ResourceId | String | ID de la ressource de la règle analytique sur laquelle l’activité d’audit s’est produite. |
| SubscriptionId | String | ID d’abonnement de l’espace de travail sur lequel l’activité d’audit s’est produite. |
| UpdatedResourceState | Dynamique (conteneur JSON) | Un conteneur JSON qui décrit la règle avant la modification. |
| Uri | String | L’ID de la ressource de chemin d’accès complet de la règle d’analytique. |
| WorkspaceId | String | ID de la ressource de l’espace de travail sur lequel l’activité d’audit s’est produite. |
| WorkspaceName | String | Nom de l’espace de travail sur lequel l’activité d’audit s’est produite. |
Étapes suivantes
- Découvrez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et playbooks.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité de vos règles d’analyse.
- Informations de référence sur les tables SentinelHealth