Informazioni di riferimento sulle tabelle di controllo di Microsoft Sentinel
Questo articolo descrive i campi nelle tabelle SentinelAudit, che vengono usati per il controllo dell'attività utente nelle risorse di Microsoft Sentinel. Con la funzionalità di controllo di Microsoft Sentinel, è possibile mantenere le schede sulle azioni eseguite nel siem e ottenere informazioni sulle modifiche apportate all'ambiente e sugli utenti che hanno apportato tali modifiche.
Informazioni su come eseguire query e usare la tabella di controllo per un monitoraggio e una visibilità più approfondite delle azioni nell'ambiente.
Importante
La tabella dei dati SentinelAudit è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.
La funzionalità di controllo di Microsoft Sentinel attualmente riguarda solo il tipo di risorsa delle regole di analisi, anche se altri tipi possono essere aggiunti in un secondo momento. Molti dei campi dati nelle tabelle seguenti verranno applicati tra i tipi di risorse, ma alcune hanno applicazioni specifiche per ogni tipo. Le descrizioni seguenti indicano un modo o l'altro.
Schema delle colonne della tabella SentinelAudit
La tabella seguente descrive le colonne e i dati generati nella tabella dei dati SentinelAudit:
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| TenantId | string | ID tenant per l'area di lavoro di Microsoft Sentinel. |
| TimeGenerated | Datetime | Ora (UTC) in cui si è verificata l'attività verificata. |
| Nomeoperazione | string | Operazione di Azure da registrare. Ad esempio: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | string | Identificatore univoco dell'area di lavoro di Microsoft Sentinel e della risorsa associata in cui si è verificata l'attività verificata. |
| SentinelResourceName | string | Nome della risorsa. Per le regole di analisi, si tratta del nome della regola. |
| Stato | string | Indica Success o Failure per OperationName. |
| Descrizione | string | Descrive l'operazione, inclusi i dati estesi in base alle esigenze. Ad esempio, per gli errori, questa colonna potrebbe indicare il motivo dell'errore. |
| WorkspaceId | string | GUID dell'area di lavoro in cui si è verificata l'attività di controllo. L'identificatore di risorsa di Azure completo è disponibile nella colonna SentinelResourceID . |
| SentinelResourceType | string | Tipo di risorsa di Microsoft Sentinel monitorato. |
| SentinelResourceKind | string | Tipo specifico di risorsa monitorata. Ad esempio, per le regole di analisi: NRT. |
| Correlationid | string | ID di correlazione dell'evento in formato GUID. |
| ExtendedProperties | Dinamico (json) | Contenitore JSON che varia in base al valore OperationName e allo stato dell'evento. Per informazioni dettagliate, vedere Proprietà estese . |
| Tipo | string | SentinelAudit |
Nomi delle operazioni per tipi di risorse diversi
| Tipi di risorsa | Nomi delle operazioni | Stati |
|---|---|---|
| Regole di analisi | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Operazione completata Operazioni non riuscite |
Proprietà estese
Regole di analisi
Le proprietà estese per le regole di analisi riflettono determinate impostazioni delle regole.
| ColumnName | ColumnType | Descrizione |
|---|---|---|
| CallerIpAddress | string | Indirizzo IP da cui è stata avviata l'azione. |
| CallerName | string | Utente o applicazione che ha avviato l'azione. |
| OriginalResourceState | Dinamico (json) | Contenitore JSON che descrive la regola prima della modifica. |
| Motivo | string | Motivo per cui l'operazione non è riuscita. Ad esempio: No permissions. |
| ResourceDiffMemberNames | Array[String] | Matrice delle proprietà della regola modificate dall'attività controllate. Ad esempio: ['custom_details','look_back']. |
| ResourceDisplayName | string | Nome della regola di analisi in cui si è verificata l'attività verificata. |
| ResourceGroupName | string | Gruppo di risorse dell'area di lavoro in cui si è verificata l'attività verificata. |
| ResourceId | string | ID risorsa della regola di analisi in cui si è verificata l'attività verificata. |
| Subscriptionid | string | ID sottoscrizione dell'area di lavoro in cui si è verificata l'attività di controllo. |
| UpdateResourceState | Dinamica (json) | Contenitore JSON che descrive la regola dopo la modifica. |
| Uri | string | ID risorsa percorso completo della regola di analisi. |
| WorkspaceId | string | ID risorsa dell'area di lavoro in cui si è verificata l'attività di controllo. |
| WorkspaceName | string | Nome dell'area di lavoro in cui si è verificata l'attività controllato. |
Passaggi successivi
- Informazioni sul controllo e sul monitoraggio dell'integrità in Microsoft Sentinel.
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Monitorare l'integrità delle regole di automazione e dei playbook.
- Monitorare l'integrità dei connettori dati.
- Monitorare l'integrità e l'integrità delle regole di analisi.
- Informazioni di riferimento sulle tabelle SentinelHealth