مرجع جداول تدقيق Microsoft Sentinel
توضح هذه المقالة الحقول في جداول SentinelAudit، والتي تستخدم لتدقيق نشاط المستخدم في موارد Microsoft Sentinel. باستخدام ميزة تدقيق Microsoft Sentinel، يمكنك الاحتفاظ بعلامات تبويب على الإجراءات المتخذة في SIEM والحصول على معلومات حول أي تغييرات تم إجراؤها على بيئتك والمستخدمين الذين أجروا هذه التغييرات.
تعرف على كيفية الاستعلام عن جدول التدقيق واستخدامه للمراقبة العميقة والرؤية للإجراءات في بيئتك.
هام
جدول بيانات SentinelAudit قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
تغطي ميزة التدقيق في Microsoft Sentinel حاليا نوع مورد قاعدة التحليلات فقط، على الرغم من أنه قد تتم إضافة أنواع أخرى لاحقا. سيتم تطبيق العديد من حقول البيانات في الجداول التالية عبر أنواع الموارد، ولكن بعضها يحتوي على تطبيقات محددة لكل نوع. ستشير الأوصاف أدناه بطريقة أو بأخرى.
مخطط أعمدة جدول SentinelAudit
يصف الجدول التالي الأعمدة والبيانات التي تم إنشاؤها في جدول بيانات SentinelAudit:
| ColumnName | ColumnType | الوصف |
|---|---|---|
| TenantId | سلسلة | معرّف المستأجر لمساحة عمل Microsoft Azure Sentinel. |
| وقت الإنشاء | التاريخ والوقت | الوقت (UTC) الذي حدث فيه النشاط المدقق. |
| OperationName | سلسلة | يتم تسجيل عملية Azure. على سبيل المثال: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | سلسلة | المعرف الفريد لمساحة عمل Microsoft Sentinel والمورد المقترن الذي حدث عليه النشاط المدقق. |
| SentinelResourceName | سلسلة | اسم المورد. بالنسبة لقواعد التحليلات، هذا هو اسم القاعدة. |
| Status | سلسلة |
Success يشير إلى أو Failure ل OperationName. |
| الوصف | سلسلة | يصف العملية، بما في ذلك البيانات الموسعة حسب الحاجة. على سبيل المثال، بالنسبة إلى حالات الفشل، قد يشير هذا العمود إلى سبب الفشل. |
| WorkspaceId | سلسلة | المعرف الفريد العمومي لمساحة العمل الذي حدث عليه النشاط المدقق. يتوفر معرّف مورد Azure الكامل في العمود SentinelResourceID. |
| SentinelResourceType | سلسلة | نوع مورد Microsoft Sentinel الذي تتم مراقبته. |
| SentinelResourceKind | سلسلة | نوع المورد المحدد الذي تتم مراقبته. على سبيل المثال، بالنسبة لقواعد التحليلات: NRT. |
| CorrelationId | سلسلة | معرف ارتباط الحدث بتنسيق GUID. |
| ExtendedProperties | ديناميكي (json) | حقيبة JSON تختلف حسب قيمة OperationNameوحالة الحدث. راجع الخصائص الموسعة للحصول على التفاصيل. |
| النوع | سلسلة | SentinelAudit |
أسماء العمليات الخاصة وأنواع الموارد المختلفة
| أنواع الموارد | أسماء العمليات | حالات |
|---|---|---|
| قواعد التحليلات | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
نجاح فشل |
الخصائص الموسعة
قواعد التحليلات
تعكس الخصائص الموسعة لقواعد التحليلات إعدادات قاعدة معينة.
| ColumnName | ColumnType | الوصف |
|---|---|---|
| CallerIpAddress | سلسلة | عنوان IP الذي بدأ منه الإجراء. |
| CallerName | سلسلة | المستخدم أو التطبيق الذي بدأ الإجراء. |
| OriginalResourceState | ديناميكي (json) | حقيبة JSON تصف القاعدة قبل التغيير. |
| السبب | سلسلة | سبب فشل العملية. على سبيل المثال: No permissions. |
| أسماء ResourceDiffMemberNames | Array[String] | صفيف من خصائص القاعدة التي تم تغييرها بواسطة النشاط المدقق. على سبيل المثال: ['custom_details','look_back']. |
| اسم عرض المورد | سلسلة | اسم قاعدة التحليلات التي حدث عليها النشاط المدقق. |
| ResourceGroupName | سلسلة | مجموعة الموارد لمساحة العمل التي حدث عليها النشاط المدقق. |
| معرّف المورد | سلسلة | معرف المورد لقاعدة التحليلات التي حدث عليها النشاط المدقق. |
| SubscriptionId. | سلسلة | معرف الاشتراك لمساحة العمل التي حدث عليها النشاط المدقق. |
| UpdatedResourceState | ديناميكي (json) | حقيبة JSON تصف القاعدة بعد التغيير. |
| معرف الموارد المنتظم | سلسلة | معرف مورد المسار الكامل لقاعدة التحليلات. |
| WorkspaceId | سلسلة | معرف المورد لمساحة العمل التي حدث عليها النشاط المدقق. |
| اسم مساحة العمل | سلسلة | اسم مساحة العمل التي حدث عليها النشاط المدقق. |