Naslaginformatie over Microsoft Sentinel-audittabellen
In dit artikel worden de velden in de SentinelAudit-tabellen beschreven, die worden gebruikt voor het controleren van gebruikersactiviteiten in Microsoft Sentinel-resources. Met de controlefunctie van Microsoft Sentinel kunt u de acties in uw SIEM in de gaten houden en informatie krijgen over wijzigingen die zijn aangebracht in uw omgeving en de gebruikers die deze wijzigingen hebben aangebracht.
Meer informatie over het uitvoeren van query's en het gebruik van de audittabel voor meer controle en zichtbaarheid van acties in uw omgeving.
Belangrijk
De gegevenstabel SentinelAudit is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie of preview zijn of die nog niet algemeen beschikbaar zijn.
De controlefunctie van Microsoft Sentinel heeft momenteel alleen betrekking op het resourcetype van de analyseregel, hoewel er later mogelijk andere typen worden toegevoegd. Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven de ene of de andere manier aan.
Tabelkolommenschema SentinelAudit
In de volgende tabel worden de kolommen en gegevens beschreven die worden gegenereerd in de gegevenstabel SentinelAudit:
| ColumnName | ColumnType | Beschrijving |
|---|---|---|
| Tenant-ID | Tekenreeks | De tenant-id voor uw Microsoft Sentinel-werkruimte. |
| TimeGenerated | Datum/tijd | De tijd (UTC) waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| OperationName | Tekenreeks | De Azure-bewerking die wordt vastgelegd. Bijvoorbeeld: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Tekenreeks | De unieke id van de Microsoft Sentinel-werkruimte en de bijbehorende resource waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| SentinelResourceName | Tekenreeks | De resourcenaam. Voor analyseregels is dit de naam van de regel. |
| Status | Tekenreeks | Geeft Success of Failure aan voor de OperationName. |
| Beschrijving | Tekenreeks | Beschrijft de bewerking, inclusief uitgebreide gegevens indien nodig. Voor fouten kan deze kolom bijvoorbeeld de reden van de fout aangeven. |
| WorkspaceId | Tekenreeks | De werkruimte-GUID waarop de gecontroleerde activiteit heeft plaatsgevonden. De volledige Azure-resource-id is beschikbaar in de kolom SentinelResourceID . |
| SentinelResourceType | Tekenreeks | Het Microsoft Sentinel-resourcetype dat wordt bewaakt. |
| SentinelResourceKind | Tekenreeks | Het specifieke type resource dat wordt bewaakt. Bijvoorbeeld voor analyseregels: NRT. |
| CorrelationId | Tekenreeks | De gebeurteniscorrelatie-id in GUID-indeling. |
| ExtendedProperties | Dynamisch (json) | Een JSON-bag die varieert op basis van de waarde van OperationName en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Type | Tekenreeks | SentinelAudit |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Namen van bewerkingen | Statussen |
|---|---|---|
| Analyseregels | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Geslaagd Fout |
Uitgebreide eigenschappen
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| ColumnName | ColumnType | Beschrijving |
|---|---|---|
| CallerIpAddress | Tekenreeks | Het IP-adres van waaruit de actie is gestart. |
| CallerName | Tekenreeks | De gebruiker of toepassing die de actie heeft geïnitieerd. |
| OriginalResourceState | Dynamisch (json) | Een JSON-bag waarin de regel vóór de wijziging wordt beschreven. |
| Reden | Tekenreeks | De reden waarom de bewerking is mislukt. Bijvoorbeeld: No permissions. |
| ResourceDiffMemberNames | Matrix[Tekenreeks] | Een matrix van de eigenschappen van de regel die zijn gewijzigd door de gecontroleerde activiteit. Bijvoorbeeld: ['custom_details','look_back']. |
| ResourceDisplayName | Tekenreeks | Naam van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| ResourceGroupName | Tekenreeks | Resourcegroep van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| Resourceid | Tekenreeks | De resource-id van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| SubscriptionId | Tekenreeks | De abonnements-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| UpdatedResourceState | Dynamisch (json) | Een JSON-bag die de regel na de wijziging beschrijft. |
| Uri | Tekenreeks | De resource-id van het volledige pad van de analyseregel. |
| WorkspaceId | Tekenreeks | De resource-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| WorkspaceName | Tekenreeks | De naam van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
Volgende stappen
- Meer informatie over controle en statuscontrole in Microsoft Sentinel.
- Schakel controle en statuscontrole in Microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Naslaginformatie over SentinelHealth-tabellen