Microsoft Sentinel 監査テーブル リファレンス
この記事では、Microsoft Sentinel リソースでのユーザー アクティビティの監査に使われる SentinelAudit テーブルのフィールドについて説明します。 Microsoft Sentinel の監査機能を使うと、SIEM で実行されたアクションを監視し、環境に対して行われた変更と、その変更を行ったユーザーに関する情報を取得できます。
環境でのアクションをいっそう詳しく監視および可視化するために、監査テーブルをクエリおよび使用する方法について説明します。
重要
SentinelAudit データ テーブルは、現在、プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel の監査機能では、現在、分析ルールのリソースの種類のみが対象ですが、今後他の種類が追加される可能性があります。 以下の表のデータ フィールドの多くはすべてのリソースの種類に当てはまりますが、種類ごとに固有の用途を持つものもあります。 以下の説明は、そのいずれか 1 つの用途を示しています。
SentinelAudit テーブルの列のスキーマ
次の表では、SentinelAudit データ テーブルで生成される列とデータについて説明します。
| ColumnName | [列の型] | 説明 |
|---|---|---|
| TenantId | String | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | Datetime | 監査されたアクティビティが発生した時刻 (UTC)。 |
| OperationName | String | 記録されている Azure 操作。 次に例を示します。 - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | 監査されたアクティビティが発生した Microsoft Sentinel ワークスペースの一意の識別子と関連するリソース。 |
| SentinelResourceName | String | リソースの名前。 分析ルールの場合、これはルール名です。 |
| Status | String |
OperationName について、Success または Failure を示します。 |
| 説明 | String | 必要に応じて拡張データを含む操作について説明します。 たとえば、失敗の場合は、この列が失敗の理由を示す可能性があります。 |
| WorkspaceId | String | 監査されたアクティビティが発生したワークスペースの GUID。 完全な Azure リソース識別子は、SentinelResourceID 列で使用できます。 |
| SentinelResourceType | String | 監視対象の Microsoft Sentinel リソースの種類: |
| SentinelResourceKind | String | 監視対象の特定の種類のリソース。 たとえば、分析ルールの場合: NRT。 |
| CorrelationId | String | GUID 形式のイベント関連付け ID。 |
| ExtendedProperties | 動的 (json) | イベントの Status と OperationName 値によって異なる JSON バッグ。 詳細については、「拡張プロパティ」を参照してください。 |
| Type | String | SentinelAudit |
リソースの種類ごとの操作名
| リソースの種類 | 操作名 | ステータス |
|---|---|---|
| 分析ルール | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success 障害 |
拡張プロパティ
分析ルール
分析ルールの拡張プロパティには、特定のルール設定が反映されます。
| ColumnName | [列の型] | 説明 |
|---|---|---|
| CallerIpAddress | String | アクションが開始された IP アドレス。 |
| CallerName | String | アクションを開始したユーザーまたはアプリケーション。 |
| OriginalResourceState | 動的 (json) | 変更前のルールが記述されている JSON バッグ。 |
| 理由 | String | 操作が失敗した理由。 (例: No permissions)。 |
| ResourceDiffMemberNames | Array[String] | 監査されたアクティビティによって変更されたルールのプロパティの配列。 (例: ['custom_details','look_back'])。 |
| ResourceDisplayName | String | 監査されたアクティビティが発生した分析ルールの名前。 |
| ResourceGroupName | String | 監査されたアクティビティが発生したワークスペースのリソース グループ。 |
| ResourceId | String | 監査されたアクティビティが発生した分析ルールのリソース ID。 |
| SubscriptionId | String | 監査されたアクティビティが発生したワークスペースのサブスクリプション ID。 |
| UpdatedResourceState | 動的 (json) | 変更後のルールが記述されている JSON バッグ。 |
| Uri | String | 分析ルールの完全パスのリソース ID。 |
| WorkspaceId | String | 監査されたアクティビティが発生したワークスペースのリソース ID。 |
| WorkspaceName | String | 監査されたアクティビティが発生したワークスペースの名前。 |
次のステップ
- Microsoft Sentinel での監査と稼働状況の監視について確認します。
- Microsoft Sentinel で監査と稼働状況の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視する。
- 分析ルールの正常性と整合性を監視する。
- SentinelHealth テーブル リファレンス