Поделиться через

SentinelAudit

  • Статья

Журналы аудита для операций, выполняемых в ресурсах Azure Sentinel, таких как соединители данных, правила аналитики и многое другое. Эти журналы можно использовать для аудита операций с ресурсами Sentinel.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность, аудит
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time No
Примеры запросов Да

Столбцы

Column Type Описание
_BilledSize real Размер записи в байтах
CorrelationId строка Уникальный идентификатор записи.
Description строка Описание операции.
ExtendedProperties по строкам Дополнительные сведения на основе типа ресурса.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
OperationName строка Имя операции, которая вызвала событие.
SentinelResourceId строка Идентификатор ресурса Sentinel.
SentinelResourceKind строка Тип ресурса, например тип соединителя (например, Office365, AmazonWebServicesCloudTrail), тип правила генерации оповещений (scheduld).
SentinelResourceName строка Имя ресурса Sentinel.
SentinelResourceType строка Тип ресурса, например DataConnector, AlertRule и т. д.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
Состояние строка Состояние операции, например успешное выполнение, сбой, предупреждение, информационное, частичное успешное выполнение.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Метка времени (UTC) при создании события.
Тип строка Имя таблицы.
WorkspaceId строка Идентификатор рабочей области.