Microsoft Sentinel 감사 테이블 참조
이 문서에서는 Microsoft Sentinel 리소스의 사용자 활동을 감사하는 데 사용되는 SentinelAudit 테이블의 필드에 대해 설명합니다. Microsoft Sentinel 감사 기능을 사용하면 SIEM에서 수행된 작업을 감시하고 사용자 환경 및 해당 변경 내용을 적용한 사용자에 대한 정보를 얻을 수 있습니다.
환경에서 작업의 심층 모니터링 및 가시성을 위해 감사 테이블을 쿼리하고 사용하는 방법을 알아봅니다.
중요
SentinelAudit 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel의 감사 기능은 현재 분석 규칙 리소스 종류만 다루지만 나중에 다른 형식을 추가할 수 있습니다. 다음 테이블의 많은 데이터 필드가 리소스 유형에 적용되지만 일부 데이터 필드에는 각 형식에 대한 특정 애플리케이션이 있습니다. 아래 설명은 한 가지 방법 또는 다른 방법을 나타냅니다.
SentinelAudit 테이블 열 스키마
다음 표에서는 SentinelAudit 데이터 테이블에서 생성된 열 및 데이터에 대해 설명합니다.
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | Microsoft Sentinel 작업 영역의 테넌트 ID입니다. |
| TimeGenerated | DateTime | 감사된 활동이 발생한 시간(UTC)입니다. |
| OperationName | String | 기록되는 Azure 작업입니다. 예: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Microsoft Sentinel 작업 영역의 고유 식별자 및 감사 활동이 발생한 관련 리소스입니다. |
| SentinelResourceName | String | 리소스 이름입니다. 분석 규칙의 경우 규칙 이름입니다. |
| 상태 | String |
OperationName에 대해 또는 Failure 를 나타냅니다Success. |
| 설명 | String | 필요에 따라 확장 데이터를 포함하여 작업을 설명합니다. 예를 들어 실패의 경우 이 열은 실패 이유를 나타낼 수 있습니다. |
| WorkspaceId | String | 감사된 활동이 발생한 작업 영역 GUID입니다. 전체 Azure 리소스 식별자는 SentinelResourceID 열에서 사용할 수 있습니다. |
| SentinelResourceType | String | 모니터링 중인 Microsoft Sentinel 리소스 종류. |
| SentinelResourceKind | String | 모니터링되는 특정 유형의 리소스입니다. 예를 들어 분석 규칙의 NRT경우 입니다. |
| CorrelationId | String | GUID 형식의 이벤트 상관 관계 ID입니다. |
| ExtendedProperties | 동적(json) | 이벤트의 OperationName 값과 Status에 따라 달라지는 JSON 모음. 자세한 내용은 확장 속성 액세스를 참조하세요. |
| 형식 | String | SentinelAudit |
다양한 리소스 종류에 대한 작업 이름
| 리소스 종류 | 작업 이름 | 상태 |
|---|---|---|
| Analytics 규칙 | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success 실패 |
확장 속성
Analytics 규칙
분석 규칙에 대한 확장 속성은 특정 규칙 설정을 반영합니다.
| ColumnName | ColumnType | Description |
|---|---|---|
| callerIpAddress | String | 작업이 시작된 IP 주소입니다. |
| CallerName | String | 작업을 시작한 사용자 또는 애플리케이션입니다. |
| OriginalResourceState | 동적(json) | 변경 전의 규칙을 설명하는 JSON 모음입니다. |
| 이유 | String | 작업이 실패한 이유입니다. 예: No permissions |
| ResourceDiffMemberNames | Array[String] | 감사된 활동에 의해 변경된 규칙의 속성 배열입니다. 예: ['custom_details','look_back'] |
| ResourceDisplayName | 문자열 | 감사된 활동이 발생한 분석 규칙의 이름입니다. |
| ResourceGroupName | String | 감사된 활동이 발생한 작업 영역의 리소스 그룹입니다. |
| ResourceId | 문자열 | 감사 활동이 발생한 분석 규칙의 리소스 ID입니다. |
| SubscriptionId | 문자열 | 감사된 활동이 발생한 작업 영역의 구독 ID입니다. |
| UpdatedResourceState | 동적(json) | 변경 후 규칙을 설명하는 JSON 모음입니다. |
| Uri | String | 분석 규칙의 전체 경로 리소스 ID입니다. |
| WorkspaceId | String | 감사된 활동이 발생한 작업 영역의 리소스 ID입니다. |
| WorkspaceName | 문자열 | 감사된 활동이 발생한 작업 영역의 이름입니다. |
다음 단계
- Microsoft Sentinel의 감사 및 상태 모니터링에 대해 알아봅니다.
- Microsoft Sentinel에서 감사 및 상태 모니터링의 설정을 켭니다.
- 자동화 규칙 및 플레이북의 상태를 모니터링합니다.
- 데이터 커넥터의 상태를 모니터링합니다.
- 분석 규칙의 상태 및 무결성을 모니터링합니다.
- SentinelHealth 테이블 참조