Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives de felter i tabellerne SentinelAudit, der bruges til overvågning af brugeraktivitet i Microsoft Sentinel ressourcer. Med Microsoft Sentinel overvågningsfunktion kan du holde styr på de handlinger, der udføres i din SIEM, og få oplysninger om eventuelle ændringer af dit miljø og de brugere, der har foretaget disse ændringer.
Få mere at vide om, hvordan du forespørger på og bruger overvågningstabellen til bedre overvågning og synlighed af handlinger i dit miljø.
Microsoft Sentinel overvågningsfunktion dækker i øjeblikket kun ressourcetypen for analysereglen, selvom andre typer kan tilføjes senere. Mange af datafelterne i følgende tabeller gælder på tværs af ressourcetyper, men nogle har specifikke programmer for hver type. Beskrivelserne nedenfor angiver den ene eller den anden måde.
Skema over tabelkolonner i SentinelAudit
I følgende tabel beskrives de kolonner og data, der genereres i datatabellen SentinelAudit:
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| Lejer-id | String | Lejer-id'et for dit Microsoft Sentinel arbejdsområde. |
| Tid genereret | Datetime | Det tidspunkt (UTC), hvor den overvågede aktivitet fandt sted. |
| Handlingsnavn | String | Den Azure handling, der registreres. Det kan f.eks. være: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Det entydige id for det Microsoft Sentinel arbejdsområde og den tilknyttede ressource, som den overvågede aktivitet fandt sted på. |
| SentinelResourceName | String | Ressourcenavnet. I forbindelse med analyseregler er dette regelnavnet. |
| Status | String | Angiver Success eller Failure for OperationName. |
| Beskrivelse | String | Beskriver handlingen, herunder udvidede data efter behov. For fejl kan denne kolonne f.eks. angive årsagen til fejlen. |
| Arbejdsområde-id | String | Arbejdsområdets GUID, hvor den overvågede aktivitet fandt sted. Det fulde Azure ressource-id er tilgængeligt i kolonnen SentinelResourceID. |
| SentinelResourceType | String | Den Microsoft Sentinel ressourcetype, der overvåges. |
| SentinelResourceKind | String | Den specifikke type ressource, der overvåges. For analyseregler: NRTf.eks. . |
| Korrelations-id | String | Hændelseskorrelations-id'et i GUID-format. |
| Udvidedeegenskaber | Dynamisk (json) | En JSON-taske, der varierer afhængigt af værdien af OperationName og status for hændelsen. Se Udvidede egenskaber for at få flere oplysninger. |
| Type | String | SentinelAudit |
Handlingsnavne for forskellige ressourcetyper
| Ressourcetyper | Handlingsnavne | Statusser |
|---|---|---|
| Analyseregler | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Succes Fiasko |
Udvidede egenskaber
Analyseregler
Udvidede egenskaber for analyseregler afspejler visse regelindstillinger.
| Kolonnenavn | Kolonnetype | Beskrivelse |
|---|---|---|
| CallerIpAddress | String | Den IP-adresse, som handlingen blev startet fra. |
| Opkaldsnavn | String | Den bruger eller det program, der startede handlingen. |
| Oprindelig ressourcetilstand | Dynamisk (json) | En JSON-pose, der beskriver reglen før ændringen. |
| Grund | String | Årsagen til, at handlingen mislykkedes. For eksempel: No permissions. |
| ResourceDiffMemberNames | Matrix[Streng] | En matrix af egenskaberne for den regel, der blev ændret af den overvågede aktivitet. For eksempel: ['custom_details','look_back']. |
| Navn på ressourceafspilning | String | Navnet på den analyseregel, hvor den overvågede aktivitet fandt sted. |
| Navn på ressourcegruppe | String | Ressourcegruppe for det arbejdsområde, hvor den overvågede aktivitet fandt sted. |
| Ressource-id | String | Ressource-id'et for den analyseregel, hvor den overvågede aktivitet fandt sted. |
| SubscriptionId | String | Abonnements-id'et for det arbejdsområde, hvor den overvågede aktivitet fandt sted. |
| Opdateret ressourcetilstand | Dynamisk (json) | En JSON-pose, der beskriver reglen efter ændringen. |
| Uri | String | Ressource-id'et for analysereglen i fuld sti. |
| Arbejdsområde-id | String | Ressource-id'et for det arbejdsområde, hvor den overvågede aktivitet fandt sted. |
| Navn på arbejdsområde | String | Navnet på det arbejdsområde, hvor den overvågede aktivitet fandt sted. |
Næste trin
- Få mere at vide om overvågning og overvågning af tilstand i Microsoft Sentinel.
- Slå overvågning og tilstandsovervågning til i Microsoft Sentinel.
- Overvåg tilstanden af dine automatiseringsregler og -playbooks.
- Overvåg tilstanden af dine dataconnectors.
- Overvåg tilstanden og integriteten af dine analyseregler.
- Reference til SentinelHealth-tabeller