Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje pole v tabulkách SentinelAudit, která se používají k auditování aktivity uživatelů v Microsoft Sentinel prostředků. Pomocí funkce auditování Microsoft Sentinel můžete mít přehled o akcích provedených v systému SIEM a získat informace o všech změnách provedených ve vašem prostředí a uživatelích, kteří tyto změny provedli.
Naučte se dotazovat a používat tabulku auditu k hlubšímu monitorování a viditelnosti akcí ve vašem prostředí.
Funkce auditování Microsoft Sentinel v současné době pokrývá pouze typ prostředku analytického pravidla, ale jiné typy se můžou přidat později. Mnoho datových polí v následujících tabulkách bude platit pro různé typy prostředků, ale některá mají pro každý typ konkrétní aplikace. Následující popisy označují jeden nebo druhý způsob.
SentinelAudit schéma sloupců tabulky
Následující tabulka popisuje sloupce a data vygenerovaná v tabulce dat SentinelAudit:
| Columnname | Columntype | Popis |
|---|---|---|
| Id tenanta | String | ID tenanta pro váš pracovní prostor Microsoft Sentinel. |
| TimeGenerated | Datetime | Čas (UTC), kdy došlo k auditované aktivitě. |
| Název operace | String | Zaznamenává se operace Azure. Příklady: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Jedinečný identifikátor pracovního prostoru Microsoft Sentinel a přidruženého prostředku, u kterého došlo k auditované aktivitě. |
| SentinelResourceName | String | Název prostředku. U analytických pravidel se jedná o název pravidla. |
| Stav | String | Označuje Success nebo Failure pro OperationName. |
| Popis | String | Popisuje operaci, včetně rozšířených dat podle potřeby. Například u selhání může tento sloupec označovat důvod selhání. |
| Id pracovního prostoru | String | Identifikátor GUID pracovního prostoru, na kterém došlo k auditované aktivitě. Úplný identifikátor prostředku Azure je k dispozici ve sloupci SentinelResourceID. |
| SentinelResourceType | String | Typ Microsoft Sentinel prostředku, který se monitoruje. |
| SentinelResourceKind | String | Konkrétní typ monitorovaného prostředku Například pro analytická pravidla: NRT. |
| Correlationid | String | ID korelace událostí ve formátu GUID. |
| Rozšířené vlastnosti | Dynamické (json) | Kontejner JSON, který se liší podle hodnoty OperationName a Status události. Podrobnosti najdete v části Rozšířené vlastnosti . |
| Typ | String | SentinelAudit |
Názvy operací pro různé typy prostředků
| Typy prostředků | Názvy operací | Stavy |
|---|---|---|
| Analytická pravidla | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Úspěch Selhání |
Rozšířené vlastnosti
Analytická pravidla
Rozšířené vlastnosti analytických pravidel odrážejí určitá nastavení pravidel.
| Columnname | Columntype | Popis |
|---|---|---|
| CallerIpAddress | String | IP adresa, ze které byla akce zahájena. |
| CallerName | String | Uživatel nebo aplikace, která akci iniciovala. |
| OriginalResourceState | Dynamické (json) | Taška JSON, která popisuje pravidlo před změnou. |
| Důvod | String | Důvod, proč operace selhala. Příklad: No permissions. |
| ResourceDiffMemberNames | Array[String] | Pole vlastností pravidla, které byly změněny auditovanou aktivitou. Příklad: ['custom_details','look_back']. |
| ResourceDisplayName | String | Název analytického pravidla, na kterém došlo k auditované aktivitě |
| ResourceGroupName | String | Skupina prostředků pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| Resourceid | String | ID prostředku analytického pravidla, u kterého došlo k auditované aktivitě. |
| Id předplatného | String | ID předplatného pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| UpdatedResourceState | Dynamické (json) | Taška JSON, která popisuje pravidlo po změně. |
| Uri | String | ID prostředku úplné cesty analytického pravidla. |
| Id pracovního prostoru | String | ID prostředku pracovního prostoru, ve kterém došlo k auditované aktivitě. |
| Název pracovního prostoru | String | Název pracovního prostoru, ve kterém došlo k auditované aktivitě. |
Další kroky
- Přečtěte si o auditování a monitorování stavu v Microsoft Sentinel.
- Zapněte auditování a monitorování stavu v Microsoft Sentinel.
- Monitorujte stav pravidel automatizace a playbooků.
- Monitorujte stav datových konektorů.
- Monitorujte stav a integritu analytických pravidel.
- Referenční informace k tabulkám SentinelHealth