إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة الحقول في جداول SentinelAudit، والتي تستخدم لتدقيق نشاط المستخدم في موارد Microsoft Sentinel. باستخدام ميزة تدقيق Microsoft Sentinel، يمكنك الاحتفاظ بعلامات تبويب حول الإجراءات المتخذة في SIEM والحصول على معلومات حول أي تغييرات تم إجراؤها على بيئتك والمستخدمين الذين أجروا هذه التغييرات.
تعرف على كيفية الاستعلام عن جدول التدقيق واستخدامه للمراقبة العميقة والرؤية للإجراءات في بيئتك.
تغطي ميزة التدقيق في Microsoft Sentinel حاليا نوع مورد قاعدة التحليلات فقط، على الرغم من إمكانية إضافة أنواع أخرى لاحقا. سيتم تطبيق العديد من حقول البيانات في الجداول التالية عبر أنواع الموارد، ولكن بعضها يحتوي على تطبيقات محددة لكل نوع. ستشير الأوصاف أدناه بطريقة أو بأخرى.
مخطط أعمدة جدول SentinelAudit
يصف الجدول التالي الأعمدة والبيانات التي تم إنشاؤها في جدول بيانات SentinelAudit:
| ColumnName | نوع العمود | الوصف |
|---|---|---|
| معرف المستأجر | السلسلة | معرف المستأجر لمساحة عمل Microsoft Sentinel. |
| تم إنشاء الوقت | التاريخ/الوقت | الوقت (UTC) الذي حدث فيه النشاط المدقق. |
| اسم العملية | السلسلة | يتم تسجيل عملية Azure. على سبيل المثال: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | السلسلة | المعرف الفريد لمساحة عمل Microsoft Sentinel والمورد المقترن الذي حدث عليه النشاط المدقق. |
| SentinelResourceName | السلسلة | اسم المورد. بالنسبة لقواعد التحليلات، هذا هو اسم القاعدة. |
| حالة | السلسلة |
Success يشير إلى أو Failure ل OperationName. |
| الوصف | السلسلة | يصف العملية، بما في ذلك البيانات الموسعة حسب الحاجة. على سبيل المثال، بالنسبة إلى حالات الفشل، قد يشير هذا العمود إلى سبب الفشل. |
| معرف مساحة العمل | السلسلة | المعرف الفريد العمومي لمساحة العمل الذي حدث عليه النشاط المدقق. يتوفر معرف مورد Azure الكامل في العمود SentinelResourceID . |
| SentinelResourceType | السلسلة | يتم مراقبة نوع مورد Microsoft Sentinel. |
| SentinelResourceKind | السلسلة | النوع المحدد من الموارد التي تتم مراقبتها. على سبيل المثال، بالنسبة لقواعد التحليلات: NRT. |
| معرف الارتباط | السلسلة | معرف ارتباط الحدث بتنسيق GUID. |
| الخصائص الموسعة | ديناميكي (json) | حقيبة JSON التي تختلف حسب قيمة OperationNameوحالة الحدث . راجع الخصائص الموسعة للحصول على التفاصيل. |
| النوع | السلسلة | SentinelAudit |
أسماء العمليات للأنوع المختلفة من الموارد
| أنواع الموارد | أسماء العمليات | حالات |
|---|---|---|
| قواعد التحليلات | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
نجاح فشل |
الخصائص الموسعة
قواعد التحليلات
تعكس الخصائص الموسعة لقواعد التحليلات إعدادات قواعد معينة.
| ColumnName | نوع العمود | الوصف |
|---|---|---|
| CallerIpAddress | السلسلة | عنوان IP الذي تم بدء الإجراء منه. |
| CallerName | السلسلة | المستخدم أو التطبيق الذي بدأ الإجراء. |
| الحالة الأصلية لمورد | ديناميكي (json) | حقيبة JSON تصف القاعدة قبل التغيير. |
| سبب | السلسلة | سبب فشل العملية. على سبيل المثال: No permissions. |
| أسماء ResourceDiffMember | Array[String] | صفيف من خصائص القاعدة التي تم تغييرها بواسطة النشاط المدقق. على سبيل المثال: ['custom_details','look_back']. |
| ResourceDisplayName | السلسلة | اسم قاعدة التحليلات التي حدث عليها النشاط المدقق. |
| اسم مجموعة الموارد | السلسلة | مجموعة الموارد لمساحة العمل التي حدث عليها النشاط المدقق. |
| معرف الموارد | السلسلة | معرف المورد لقاعدة التحليلات التي حدث عليها النشاط المدقق. |
| معرف الاشتراك | السلسلة | معرف الاشتراك لمساحة العمل التي حدث عليها النشاط المدقق. |
| UpdatedResourceState | ديناميكي (json) | حقيبة JSON تصف القاعدة بعد التغيير. |
| Uri | السلسلة | معرف مورد المسار الكامل لقاعدة التحليلات. |
| معرف مساحة العمل | السلسلة | معرف المورد لمساحة العمل التي حدث عليها النشاط المدقق. |
| اسم مساحة العمل | السلسلة | اسم مساحة العمل التي حدث عليها النشاط المدقق. |