Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje pole v tabulkách SentinelAudit, která se používají k auditování aktivity uživatelů v prostředcích Microsoft Sentinelu. Pomocí funkce auditování Microsoft Sentinelu můžete udržovat přehled o akcích provedených ve vašem systému SIEM a získat informace o všech změnách provedených ve vašem prostředí a o uživatelích, kteří tyto změny provedli.
Zjistěte, jak dotazovat a používat tabulku auditování k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí.
Funkce auditování Microsoft Sentinelu v současné době pokrývá pouze typ prostředku analytického pravidla, i když je možné přidat další typy později. Mnoho datových polí v následujících tabulkách se bude vztahovat na typy prostředků, ale některé mají pro každý typ konkrétní aplikace. Níže uvedené popisy označují jeden nebo druhý.
Schéma sloupců tabulky SentinelAudit
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelAudit:
| ColumnName | Typ sloupce | Description |
|---|---|---|
| ID klienta | String | ID tenanta pro váš pracovní prostor Služby Microsoft Sentinel. |
| TimeGenerated | Datum a čas | Čas (UTC), kdy došlo k auditované aktivitě. |
| Název operace | String | Zaznamenává se operace Azure. Například: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Jedinečný identifikátor pracovního prostoru Služby Microsoft Sentinel a přidruženého prostředku, ke kterému došlo k auditované aktivitě. |
| SentinelResourceName | String | Název prostředku. U analytických pravidel se jedná o název pravidla. |
| Stav | String |
Success Označuje nebo Failure pro OperationName. |
| Description | String | Popisuje operaci, včetně rozšířených dat podle potřeby. Například u selhání může tento sloupec znamenat důvod selhání. |
| Id pracovního prostoru | String | Identifikátor GUID pracovního prostoru, ke kterému došlo k auditované aktivitě. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID . |
| SentinelResourceType | String | Monitorovaný typ prostředku Služby Microsoft Sentinel. |
| SentinelResourceKind | String | Konkrétní typ monitorovaného prostředku. Například pro analytická pravidla: NRT. |
| ID korelace | String | ID korelace události ve formátu GUID. |
| ExtendedProperties | Dynamic (json) | Taška JSON, která se liší podle hodnoty OperationName a stavu události. Podrobnosti najdete v části Rozšířené vlastnosti . |
| Type | String | SentinelAudit |
Názvy operací pro různé typy prostředků
| Typy zdrojů | Názvy operací | Statuses |
|---|---|---|
| Analytická pravidla | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Rozšířené vlastnosti
Analytická pravidla
Rozšířené vlastnosti pro analytická pravidla odrážejí určitá nastavení pravidel.
| ColumnName | Typ sloupce | Description |
|---|---|---|
| CallerIpAddress | String | IP adresa, ze které byla akce zahájena. |
| CallerName | String | Uživatel nebo aplikace, která akci iniciovala. |
| OriginalResourceState | Dynamic (json) | Taška JSON, která popisuje pravidlo před změnou. |
| Důvod | String | Důvod, proč operace selhala. Například: No permissions. |
| ResourceDiffMemberNames | Array[String] | Pole vlastností pravidla, které bylo změněno auditovanou aktivitou. Například: ['custom_details','look_back']. |
| ResourceDisplayName | String | Název analytického pravidla, ke kterému došlo k auditované aktivitě. |
| ResourceGroupName | String | Skupina prostředků pracovního prostoru, na kterém došlo k auditované aktivitě. |
| ID prostředku | String | ID prostředku analytického pravidla, ke kterému došlo k auditované aktivitě. |
| ID předplatného | String | ID předplatného pracovního prostoru, na kterém došlo k auditované aktivitě. |
| UpdatedResourceState | Dynamic (json) | Taška JSON, která popisuje pravidlo po změně. |
| Identifikátor uri | String | ID prostředku úplné cesty analytického pravidla. |
| Id pracovního prostoru | String | ID prostředku pracovního prostoru, na kterém došlo k auditované aktivitě. |
| Název pracovního prostoru | String | Název pracovního prostoru, na kterém došlo k auditované aktivitě. |
Další kroky
- Přečtěte si o auditování a monitorování stavu v Microsoft Sentinelu.
- Zapněte auditování a monitorování stavu v Microsoft Sentinelu.
- Monitorujte stav pravidel automatizace a scénářů.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelHealth