Dela via


Referens för Microsoft Sentinel-granskningstabeller

Den här artikeln beskriver fälten i SentinelAudit-tabellerna, som används för granskning av användaraktivitet i Microsoft Sentinel-resurser. Med granskningsfunktionen i Microsoft Sentinel kan du hålla koll på de åtgärder som vidtas i SIEM och få information om eventuella ändringar i din miljö och de användare som har gjort dessa ändringar.

Lär dig hur du frågar och använder granskningstabellen för djupare övervakning och synlighet av åtgärder i din miljö.

Viktigt

Datatabellen SentinelAudit är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinels granskningsfunktion omfattar för närvarande endast resurstypen analysregel, även om andra typer kan läggas till senare. Många av datafälten i följande tabeller gäller för olika resurstyper, men vissa har specifika program för varje typ. Beskrivningarna nedan visar det ena eller det andra sättet.

Schema för SentinelAudit-tabellkolumner

I följande tabell beskrivs de kolumner och data som genereras i datatabellen SentinelAudit:

ColumnName ColumnType Beskrivning
TenantId Sträng Klientorganisations-ID:t för din Microsoft Sentinel-arbetsyta.
TimeGenerated Datumtid Den tid (UTC) då den granskade aktiviteten inträffade.
OperationName Sträng Azure-åtgärden registreras. Exempel:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Sträng Den unika identifieraren för Microsoft Sentinel-arbetsytan och den associerade resurs som den granskade aktiviteten inträffade på.
SentinelResourceName Sträng Resursnamnet. För analysregler är detta regelnamnet.
Status Sträng Anger Success eller Failure för OperationName.
Beskrivning Sträng Beskriver åtgärden, inklusive utökade data efter behov. För fel kan den här kolumnen till exempel indikera orsaken till felet.
WorkspaceId Sträng Det GUID för arbetsytan som den granskade aktiviteten inträffade på. Den fullständiga Azure-resursidentifieraren är tillgänglig i kolumnen SentinelResourceID .
SentinelResourceType Sträng Den Microsoft Sentinel-resurstyp som övervakas.
SentinelResourceKind Sträng Den specifika typen av resurs som övervakas. Till exempel för analysregler: NRT.
CorrelationId Sträng Händelsekorrelations-ID i GUID-format.
ExtendedProperties Dynamisk (json) En JSON-väska som varierar beroende på värdet OperationName och händelsens status .
Mer information finns i Utökade egenskaper .
Typ Sträng SentinelAudit

Åtgärdsnamn för olika resurstyper

Resurstyper Åtgärdsnamn Status
Analysregler - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Klart
Fel

Utökade egenskaper

Analysregler

Utökade egenskaper för analysregler återspeglar vissa regelinställningar.

ColumnName ColumnType Beskrivning
CallerIpAddress Sträng DEN IP-adress som åtgärden initierades från.
CallerName Sträng Användaren eller programmet som initierade åtgärden.
OriginalResourceState Dynamisk (json) En JSON-väska som beskriver regeln före ändringen.
Anledning Sträng Anledningen till att åtgärden misslyckades. Exempel: No permissions.
ResourceDiffMemberNames Matris[Sträng] En matris med egenskaperna för regeln som ändrades av den granskade aktiviteten. Exempel: ['custom_details','look_back'].
ResourceDisplayName Sträng Namnet på analysregeln som den granskade aktiviteten inträffade på.
ResourceGroupName Sträng Resursgrupp för arbetsytan där den granskade aktiviteten inträffade.
ResourceId Sträng Resurs-ID för analysregeln som den granskade aktiviteten inträffade på.
SubscriptionId Sträng Prenumerations-ID för arbetsytan där den granskade aktiviteten inträffade.
UpdatedResourceState Dynamisk (json) En JSON-påse som beskriver regeln efter ändringen.
Uri Sträng Resurs-ID:t för hela sökvägen för analysregeln.
WorkspaceId Sträng Resurs-ID för arbetsytan där den granskade aktiviteten inträffade.
WorkspaceName Sträng Namnet på arbetsytan där den granskade aktiviteten inträffade.

Nästa steg