Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de velden in de SentinelAudit-tabellen beschreven, die worden gebruikt voor het controleren van gebruikersactiviteiten in Microsoft Sentinel-resources. Met de microsoft Sentinel-controlefunctie kunt u tabbladen houden over de acties die in uw SIEM worden uitgevoerd en informatie krijgen over wijzigingen die zijn aangebracht in uw omgeving en de gebruikers die deze wijzigingen hebben aangebracht.
Meer informatie over het uitvoeren van query's en het gebruik van de audittabel voor meer controle en zichtbaarheid van acties in uw omgeving.
De controlefunctie van Microsoft Sentinel heeft momenteel alleen betrekking op het resourcetype analyseregel, hoewel andere typen later kunnen worden toegevoegd. Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven een of meer manieren aan.
Schema voor sentinelAudit-tabelkolommen
In de volgende tabel worden de kolommen en gegevens beschreven die zijn gegenereerd in de gegevenstabel SentinelAudit:
| ColumnName | KolomType | Description |
|---|---|---|
| Huurder-id | String | De tenant-id voor uw Microsoft Sentinel-werkruimte. |
| TimeGenerated | Datum/tijd | De tijd (UTC) waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| OperationName | String | De Azure-bewerking die wordt vastgelegd. Voorbeeld: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | De unieke id van de Microsoft Sentinel-werkruimte en de bijbehorende resource waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| SentinelResourceName | String | De resourcenaam. Voor analyseregels is dit de regelnaam. |
| Status | String | Geeft Success aan of Failure voor de OperationName. |
| Beschrijving | String | Beschrijft de bewerking, inclusief uitgebreide gegevens, indien nodig. Voor fouten kan deze kolom bijvoorbeeld de reden van de fout aangeven. |
| WorkspaceId | String | De werkruimte-GUID waarop de gecontroleerde activiteit heeft plaatsgevonden. De volledige Azure-resource-id is beschikbaar in de kolom SentinelResourceID . |
| SentinelResourceType | String | Het resourcetype Microsoft Sentinel dat wordt bewaakt. |
| SentinelResourceKind | String | Het specifieke type resource dat wordt bewaakt. Bijvoorbeeld voor analyseregels: NRT. |
| CorrelationId | String | De gebeurteniscorrelatie-id in GUID-indeling. |
| ExtendedProperties | Dynamisch (json) | Een JSON-zak die verschilt per OperationName-waarde en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Typ | String | SentinelAudit |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Bewerkingsnamen | Statussen |
|---|---|---|
| Analyseregels | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Uitgebreide eigenschappen
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| ColumnName | KolomType | Description |
|---|---|---|
| CallerIpAddress | String | Het IP-adres van waaruit de actie is gestart. |
| CallerName | String | De gebruiker of toepassing die de actie heeft gestart. |
| OriginalResourceState | Dynamisch (json) | Een JSON-zak die de regel beschrijft vóór de wijziging. |
| Reden | String | De reden waarom de bewerking is mislukt. Voorbeeld: No permissions. |
| ResourceDiffMemberNames | Matrix[tekenreeks] | Een matrix van de eigenschappen van de regel die zijn gewijzigd door de gecontroleerde activiteit. Voorbeeld: ['custom_details','look_back']. |
| ResourceDisplayName | String | Naam van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| ResourceGroupName | String | Resourcegroep van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| Bron Id | String | De resource-id van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| Abonnement-ID | String | De abonnements-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| UpdatedResourceState | Dynamisch (json) | Een JSON-zak die de regel na de wijziging beschrijft. |
| Uri | String | De resource-id van het volledige pad van de analyseregel. |
| WorkspaceId | String | De resource-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| WorkspaceName | String | De naam van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
Volgende stappen
- Meer informatie over auditing en gezondheidsmonitoring in Microsoft Sentinel.
- Schakel controle en gezondheidsbewaking in Microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Naslaginformatie over SentinelHealth-tabellen