Sdílet prostřednictvím


Referenční informace k tabulkám auditu služby Microsoft Sentinel

Tento článek popisuje pole v tabulkách SentinelAudit, která se používají k auditování aktivity uživatelů v prostředcích služby Microsoft Sentinel. Pomocí funkce auditování služby Microsoft Sentinel můžete mít přehled o akcích provedených ve vašem systému SIEM a získat informace o všech změnách provedených ve vašem prostředí a uživatelích, kteří tyto změny provedli.

Naučte se dotazovat tabulku auditu a používat ji k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí.

Důležité

Tabulka dat SentinelAudit je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, ve verzi Preview nebo jinak ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .

Funkce auditu služby Microsoft Sentinel v současné době pokrývá pouze typ prostředku analytického pravidla, i když další typy můžete přidat později. Mnoho datových polí v následujících tabulkách bude platit pro různé typy prostředků, ale některá mají pro každý typ specifické aplikace. Popisy níže budou indikovat jeden nebo druhý způsob.

SentinelAudit – schéma sloupců tabulky

Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelAudit:

ColumnName ColumnType Description
ID tenanta Řetězec ID tenanta pro pracovní prostor služby Microsoft Sentinel.
TimeGenerated Datum a čas Čas (UTC), kdy došlo k auditované aktivitě.
Název operace Řetězec Zaznamenává se operace Azure. Příklad:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Řetězec Jedinečný identifikátor pracovního prostoru služby Microsoft Sentinel a přidruženého prostředku, na kterém došlo k auditované aktivitě.
SentinelResourceName Řetězec Název prostředku. U analytických pravidel se jedná o název pravidla.
Stav Řetězec Označuje Success nebo Failure pro OperationName.
Popis Řetězec Popisuje operaci, včetně rozšířených dat podle potřeby. Například v případě selhání může tento sloupec uvádět důvod selhání.
Id pracovního prostoru Řetězec Identifikátor GUID pracovního prostoru, na kterém došlo k auditované aktivitě. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID .
SentinelResourceType Řetězec Monitorovaný typ prostředku služby Microsoft Sentinel
SentinelResourceKind Řetězec Konkrétní typ monitorovaného prostředku. Například pro analytická pravidla: NRT.
Correlationid Řetězec ID korelace události ve formátu GUID.
Rozšířené vlastnosti Dynamické (json) Kontejner JSON, který se liší podle hodnoty OperationName a Status události.
Podrobnosti najdete v části Rozšířené vlastnosti .
Typ Řetězec SentinelAudit

Názvy operací pro různé typy prostředků

Typy prostředků Názvy operací Stavy
Analytická pravidla - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Success
Selhání

Rozšířené vlastnosti

Analytická pravidla

Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.

ColumnName ColumnType Description
CallerIpAddress Řetězec IP adresa, ze které byla akce zahájena.
CallerName Řetězec Uživatel nebo aplikace, které akci zahájily.
Původní stav zdroje Dynamické (json) Balíček JSON, který popisuje pravidlo před změnou.
Důvod Řetězec Důvod, proč operace selhala. Příklad: No permissions.
ResourceDiffMemberNames Pole[Řetězec] Pole vlastností pravidla, které byly změněny auditovanou aktivitou. Příklad: ['custom_details','look_back'].
Název zobrazení prostředku Řetězec Název analytického pravidla, na kterém došlo k auditované aktivitě.
ResourceGroupName Řetězec Skupina prostředků pracovního prostoru, ve kterém došlo k auditované aktivitě.
ResourceId Řetězec ID prostředku analytického pravidla, u kterého došlo k auditované aktivitě.
Id předplatného Řetězec ID předplatného pracovního prostoru, ve kterém došlo k auditované aktivitě.
UpdatedResourceState Dynamické (json) Taška JSON, která popisuje pravidlo po změně.
Uri Řetězec ID prostředku úplné cesty analytického pravidla.
Id pracovního prostoru Řetězec ID prostředku pracovního prostoru, ve kterém došlo k auditované aktivitě.
Název pracovního prostoru Řetězec Název pracovního prostoru, ve kterém došlo k auditované aktivitě.

Další kroky