Dokumentacja tabel inspekcji usługi Microsoft Sentinel
W tym artykule opisano pola w tabelach SentinelAudit, które są używane do inspekcji aktywności użytkowników w zasobach usługi Microsoft Sentinel. Dzięki funkcji inspekcji usługi Microsoft Sentinel możesz zachować karty na temat akcji wykonywanych w rozwiązaniu SIEM i uzyskać informacje na temat wszelkich zmian wprowadzonych w środowisku oraz użytkowników, którzy wprowadzili te zmiany.
Dowiedz się, jak wykonywać zapytania i używać tabeli inspekcji w celu dokładniejszego monitorowania i widoczności akcji w środowisku.
Ważne
Tabela danych SentinelAudit jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla platformy Microsoft Azure w wersji zapoznawczej , aby uzyskać dodatkowe warunki prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w ogólnej dostępności.
Funkcja inspekcji usługi Microsoft Sentinel obecnie obejmuje tylko typ zasobu reguły analizy, choć inne typy mogą zostać dodane później. Wiele pól danych w poniższych tabelach będzie stosować w różnych typach zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jeden lub drugi sposób.
Schemat kolumn tabeli SentinelAudit
W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelAudit:
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| Identyfikator dzierżawy | Ciąg | Identyfikator dzierżawy dla obszaru roboczego usługi Microsoft Sentinel. |
| TimeGenerated | Datetime (data/godzina) | Godzina (UTC), w której wystąpiło przeprowadź inspekcję działania. |
| Operationname | Ciąg | Zarejestrowano operację platformy Azure. Przykład: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Ciąg | Unikatowy identyfikator obszaru roboczego usługi Microsoft Sentinel i skojarzony zasób, na którym wystąpiło działanie inspekcji. |
| SentinelResourceName | Ciąg | Nazwa zasobu. W przypadku reguł analizy jest to nazwa reguły. |
| Stan | Ciąg |
Success Wskazuje lub Failure dla elementu OperationName. |
| Opis | Ciąg | Opisuje operację, w tym rozszerzone dane zgodnie z potrzebami. Na przykład w przypadku awarii ta kolumna może wskazywać przyczynę błędu. |
| Identyfikator obszaru roboczego | Ciąg | Identyfikator GUID obszaru roboczego, na którym wystąpiło działanie inspekcji. Pełny identyfikator zasobu platformy Azure jest dostępny w kolumnie SentinelResourceID . |
| SentinelResourceType | Ciąg | Monitorowany typ zasobu usługi Microsoft Sentinel. |
| SentinelResourceKind | Ciąg | Monitorowany typ zasobu. Na przykład dla reguł analizy: NRT. |
| Correlationid | Ciąg | Identyfikator korelacji zdarzeń w formacie GUID. |
| ExtendedProperties | Dynamiczny (json) | Torba JSON, która różni się od wartości OperationName i stanu zdarzenia. Aby uzyskać szczegółowe informacje, zobacz Właściwości rozszerzone . |
| Typ | Ciąg | SentinelAudit |
Nazwy operacji dla różnych typów zasobów
| Typy zasobów | Nazwy operacji | Statusy |
|---|---|---|
| Reguły analizy | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Powodzenie Niepowodzenie |
Właściwości rozszerzone
Reguły analizy
Rozszerzone właściwości reguł analizy odzwierciedlają pewne ustawienia reguł.
| nazwa_kolumny | ColumnType | Opis |
|---|---|---|
| CallerIpAddress | Ciąg | Adres IP, z którego zainicjowano akcję. |
| Nazwa wywołująca | Ciąg | Użytkownik lub aplikacja, która zainicjowała akcję. |
| OriginalResourceState | Dynamiczny (json) | Torba JSON, która opisuje regułę przed zmianą. |
| Przyczyna | Ciąg | Przyczyna niepowodzenia operacji. Na przykład: No permissions. |
| ResourceDiffMemberNames | Tablica[Ciąg] | Tablica właściwości reguły, która została zmieniona przez działanie inspekcji. Na przykład: ['custom_details','look_back']. |
| ResourceDisplayName | Ciąg | Nazwa reguły analizy, w której wystąpiło działanie inspekcji. |
| ResourceGroupName | Ciąg | Grupa zasobów obszaru roboczego, w którym wystąpiło działanie inspekcji. |
| ResourceId | Ciąg | Identyfikator zasobu reguły analizy, na której wystąpiło działanie inspekcji. |
| Subscriptionid | Ciąg | Identyfikator subskrypcji obszaru roboczego, w którym wystąpiło inspekcja działania. |
| UpdatedResourceState | Dynamiczny (json) | Torba JSON, która opisuje regułę po zmianie. |
| Identyfikator uri | Ciąg | Identyfikator zasobu pełnej ścieżki reguły analizy. |
| Identyfikator obszaru roboczego | Ciąg | Identyfikator zasobu obszaru roboczego, w którym wystąpiło inspekcja działania. |
| Nazwa obszaru roboczego | Ciąg | Nazwa obszaru roboczego, w którym wystąpiło działanie inspekcji. |
Następne kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
- Włącz inspekcję i monitorowanie kondycji w usłudze Microsoft Sentinel.
- Monitorowanie kondycji reguł automatyzacji i podręczników.
- Monitorowanie kondycji łączników danych.
- Monitoruj kondycję i integralność reguł analizy.
- Dokumentacja tabel usługi SentinelHealth