Справочник по таблицам аудита Microsoft Sentinel
В этой статье описываются поля в таблицах SentinelAudit, которые используются для аудита активности пользователей в ресурсах Microsoft Sentinel. С помощью функции аудита Microsoft Sentinel вы можете следить за действиями, выполненными в SIEM, и получать сведения о любых изменениях, внесенных в вашу среду, и о пользователях, которые внесли эти изменения.
Узнайте, как запрашивать и использовать таблицу аудита для более глубокого мониторинга и видимости действий в вашей среде.
Важно!
Таблица данных SentinelAudit в настоящее время находится на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Функция аудита Microsoft Sentinel в настоящее время охватывает только тип ресурса правила аналитики, хотя другие типы могут быть добавлены позже. Многие поля данных в следующих таблицах будут применяться к различным типам ресурсов, но некоторые из них имеют определенные приложения для каждого типа. В приведенных ниже описаниях будет указано, что так или иначе.
Схема столбцов таблицы SentinelAudit
В следующей таблице описаны столбцы и данные, созданные в таблице данных SentinelAudit.
| ColumnName | ColumnType | Описание |
|---|---|---|
| TenantId | Строка | Идентификатор арендатора для рабочей области Microsoft Sentinel. |
| TimeGenerated | Datetime | Время (UTC), когда произошло действие аудита. |
| OperationName | Строка | Записываемая операция Azure. Пример: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Строка | Уникальный идентификатор рабочей области Microsoft Sentinel и связанного ресурса, в котором произошло действие аудита. |
| SentinelResourceName | Строка | Имя ресурса. Для правил аналитики это имя правила. |
| Состояние | Строка | Указывает Success или Failure для operationName. |
| Описание | Строка | Описывает операцию, при необходимости включая расширенные данные. Например, для сбоев в этом столбце может указываться причина сбоя. |
| WorkspaceId | Строка | GUID рабочей области, в которой произошло действие аудита. Полный идентификатор ресурса Azure доступен в столбце SentinelResourceID. |
| SentinelResourceType | Строка | Отслеживаемый тип ресурса Microsoft Sentinel. |
| SentinelResourceKind | Строка | Конкретный тип отслеживаемого ресурса. Например, для правил аналитики: NRT. |
| CorrelationId | Строковый тип | Идентификатор корреляции событий в формате GUID. |
| ExtendedProperties | Динамический (JSON) | Контейнер JSON, который зависит от значения OperationName и состояния события. Дополнительные сведения см. в разделе Расширенные свойства . |
| Тип | Строка | SentinelAudit |
Имена операций для разных типов ресурсов
| Типы ресурсов | Имена операций | Состояния |
|---|---|---|
| Правила аналитики | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Успешно Failure |
Расширенные свойства
Правила аналитики
Расширенные свойства для правил аналитики отражают определенные параметры правил.
| ColumnName | ColumnType | Описание |
|---|---|---|
| CallerIpAddress | Строка | IP-адрес, с которого было инициировано действие. |
| CallerName | Строковый тип | Пользователь или приложение, которые инициировали действие. |
| OriginalResourceState | Динамический (JSON) | Контейнер JSON, описывающий правило перед изменением. |
| Причина | Строка | Причина сбоя операции. Например: No permissions. |
| ResourceDiffMemberNames | Array[String] | Массив свойств правила, измененных действием аудита. Например: ['custom_details','look_back']. |
| ResourceDisplayName | Строковый тип | Имя правила аналитики, в котором было выполнено действие аудита. |
| ResourceGroupName | Строковый тип | Группа ресурсов рабочей области, в которой выполнялось действие аудита. |
| ResourceId | Строковый тип | Идентификатор ресурса правила аналитики, в котором выполнялось действие аудита. |
| SubscriptionId | Строковый тип | Идентификатор подписки рабочей области, в которой произошло аудированное действие. |
| UpdatedResourceState | Динамический (JSON) | Контейнер JSON, описывающий правило после изменения. |
| URI | Строка | Идентификатор ресурса полного пути правила аналитики. |
| WorkspaceId | Строка | Идентификатор ресурса рабочей области, в которой выполнялось аудированное действие. |
| WorkspaceName | Строка | Имя рабочей области, в которой произошло действие аудита. |
Дальнейшие действия
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Отслеживайте работоспособность и целостность правил аналитики.
- Справочник по таблицам SentinelHealth