Compartir a través de


Referencia de las tablas de auditoría de Microsoft Sentinel

En este artículo se describen los campos de las tablas SentinelAudit, que se usan para auditar la actividad de los usuarios en los recursos de Microsoft Sentinel. Con la característica de auditoría de Microsoft Sentinel, puede controlar las acciones realizadas en su SIEM y obtener información sobre cualquier cambio realizado en su entorno y los usuarios que realizaron dichos cambios.

Descubra cómo consultar y usar la tabla de auditoría para una mayor supervisión y visibilidad de las acciones en su entorno.

Importante

La tabla de datos SentinelAudit se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Por el momento, la característica de auditoría de Microsoft Sentinel solo cubre el tipo de recurso de regla de análisis, aunque es posible que se agreguen otros tipos más adelante. Muchos de los campos de datos de las tablas siguientes se aplicarán a todos los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.

Esquema de columnas de la tabla SentinelAudit

La siguiente tabla describe las columnas y los datos generados en la tabla de datos SentinelAudit:

ColumnName ColumnType Descripción
TenantId String Identificador de inquilino del área de trabajo de Microsoft Sentinel.
TimeGenerated Datetime Hora (UTC) a la que se produjo la actividad auditada.
OperationName String Operación de Azure que se está registrando. Por ejemplo:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId String Identificador único del área de trabajo de Microsoft Sentinel y el conector asociado en el que se produjo la actividad auditada.
SentinelResourceName String Nombre del recurso. En el caso de las reglas de análisis, este es el nombre de la regla.
Status String Indica Success o Failure para el OperationName.
Descripción String Describe la operación, incluidos los datos extendidos según sea necesario. Por ejemplo, para los errores, esta columna puede indicar el motivo del error.
WorkspaceId String El GUID del área de trabajo en la que se produjo la actividad auditada. El identificador de recursos de Azure completo está disponible en la columna SentinelResourceID.
SentinelResourceType String Tipo de recurso de Microsoft Sentinel que se supervisa.
SentinelResourceKind String Tipo específico de recurso que se está supervisando. Por ejemplo, para las reglas de análisis: NRT.
CorrelationId String Identificador de correlación de eventos en formato GUID.
ExtendedProperties Dinámico (JSON) Un paquete JSON que varía según el valor OperationName y el estado del evento.
Consulte Propiedades extendidas para más información.
Tipo String SentinelAudit

Nombres de operación para distintos tipos de recursos.

Tipos de recursos Nombres de operación Estados
Reglas de análisis - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Correcto
Error

Propiedades extendidas

Reglas de análisis

Las propiedades extendidas de las reglas de análisis reflejan ciertas configuraciones de reglas.

ColumnName ColumnType Descripción
CallerIpAddress String La dirección IP desde donde se inició la acción
CallerName String Usuario o aplicación que inició la acción.
OriginalResourceState Dinámico (JSON) Contenedor JSON que describe la regla antes del cambio.
Motivo String Motivo por el que se produjo un error en la operación. Por ejemplo: No permissions.
ResourceDiffMemberNames Matriz[Cadena] Matriz de las propiedades de la regla que fueron cambiadas por la actividad auditada. Por ejemplo: ['custom_details','look_back'].
ResourceDisplayName String Nombre de la regla de análisis en la que se produjo la actividad auditada.
ResourceGroupName String Grupo de recursos del área de trabajo en la que se produjo la actividad auditada.
ResourceId String Identificador de recurso de la regla de análisis en la que se produjo la actividad auditada.
SubscriptionId String Id. de suscripción del área de trabajo en la que se produjo la actividad auditada.
UpdatedResourceState Dinámico (JSON) Contenedor JSON que describe la regla después del cambio.
Uri String Identificador de recurso de ruta de acceso completa de la regla de análisis.
WorkspaceId String Id. de recurso del área de trabajo en la que se produjo la actividad auditada.
WorkspaceName String Nombre del área de trabajo en la que se produjo la actividad auditada.

Pasos siguientes