Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les champs des tables SentinelAudit, qui sont utilisés pour auditer l’activité des utilisateurs dans Microsoft Sentinel ressources. Avec la fonctionnalité d’audit Microsoft Sentinel, vous pouvez garder un onglet sur les actions effectuées dans votre SIEM et obtenir des informations sur les modifications apportées à votre environnement et aux utilisateurs qui ont apporté ces modifications.
Découvrez comment interroger et utiliser la table d’audit pour une surveillance et une visibilité plus approfondies des actions dans votre environnement.
La fonctionnalité d’audit de Microsoft Sentinel couvre actuellement uniquement le type de ressource de règle d’analytique, bien que d’autres types puissent être ajoutés ultérieurement. La plupart des champs de données des tableaux suivants s’appliquent aux types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent d’une manière ou d’une autre.
Schéma des colonnes de table SentinelAudit
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelAudit :
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Datetime | Heure (UTC) à laquelle l’activité auditée s’est produite. |
| OperationName | String | Opération Azure en cours d’enregistrement. Par exemple : - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Identificateur unique de l’espace de travail Microsoft Sentinel et de la ressource associée sur laquelle l’activité auditée s’est produite. |
| SentinelResourceName | String | Nom de la ressource. Pour les règles analytiques, il s’agit du nom de la règle. |
| Statut | String | Indique Success ou Failure pour operationName. |
| Description | String | Décrit l’opération, y compris les données étendues en fonction des besoins. Par exemple, pour les échecs, cette colonne peut indiquer la raison de l’échec. |
| WorkspaceId | String | GUID de l’espace de travail sur lequel l’activité auditée s’est produite. L’identificateur de ressource Azure complet est disponible dans la colonne SentinelResourceID. |
| SentinelResourceType | String | Type de ressource Microsoft Sentinel surveillé. |
| SentinelResourceKind | String | Type spécifique de ressource supervisée. Par exemple, pour les règles d’analyse : NRT. |
| Correlationid | String | ID de corrélation d’événement au format GUID. |
| ExtendedProperties | Dynamique (json) | Conteneur JSON qui varie selon la valeur OperationName et l’état de l’événement. Pour plus d’informations, consultez Propriétés étendues . |
| Type | String | SentinelAudit |
Noms des opérations pour les différents types de ressources
| Types de ressources | Noms des opérations | Statuts |
|---|---|---|
| Règles d’analyse | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Opération réussie Échec |
Propriétés étendues
Règles d’analyse
Les propriétés étendues des règles d’analyse reflètent certains paramètres de règle.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIpAddress | String | Adresse IP à partir de laquelle l’action a été lancée. |
| CallerName | String | L’utilisateur ou l’application qui a lancé l’action. |
| OriginalResourceState | Dynamique (json) | Un conteneur JSON qui décrit la règle avant la modification. |
| Raison | String | Raison de l’échec de l’opération. Par exemple : No permissions. |
| ResourceDiffMemberNames | Array[String] | Tableau des propriétés de la règle qui ont été modifiées par l’activité auditée. Par exemple : ['custom_details','look_back']. |
| ResourceDisplayName | String | Nom de la règle d’analyse sur laquelle l’activité auditée s’est produite. |
| ResourceGroupName | String | Groupe de ressources de l’espace de travail sur lequel l’activité auditée s’est produite. |
| ResourceId | String | ID de ressource de la règle d’analyse sur laquelle l’activité auditée s’est produite. |
| Id d’abonnement | String | ID d’abonnement de l’espace de travail sur lequel l’activité auditée s’est produite. |
| UpdatedResourceState | Dynamique (json) | Un conteneur JSON qui décrit la règle après la modification. |
| Uri | String | ID de ressource de chemin d’accès complet de la règle d’analyse. |
| WorkspaceId | String | ID de ressource de l’espace de travail sur lequel l’activité auditée s’est produite. |
| Nom de l’espace de travail | String | Nom de l’espace de travail sur lequel l’activité auditée s’est produite. |
Étapes suivantes
- Découvrez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et la surveillance de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et playbooks.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité et l’intégrité de vos règles d’analyse.
- Informations de référence sur les tables SentinelHealth