Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os campos nas tabelas SentinelAudit, que são utilizados para auditar a atividade do utilizador em recursos Microsoft Sentinel. Com a funcionalidade de auditoria Microsoft Sentinel, pode controlar as ações realizadas no SIEM e obter informações sobre as alterações efetuadas ao seu ambiente e aos utilizadores que efetuou essas alterações.
Saiba como consultar e utilizar a tabela de auditoria para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente.
Atualmente, a funcionalidade de auditoria do Microsoft Sentinel abrange apenas o tipo de recurso da regra de análise, embora outros tipos possam ser adicionados mais tarde. Muitos dos campos de dados nas tabelas seguintes serão aplicados entre tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
SentinelAudit table columns schema (Esquema de colunas da tabela SentinelAudit)
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | Cadeia | O ID do inquilino da área de trabalho Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu a atividade auditada. |
| OperationName | Cadeia | A operação Azure a ser registada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Cadeia | O identificador exclusivo da área de trabalho Microsoft Sentinel e o recurso associado no qual ocorreu a atividade auditada. |
| SentinelResourceName | Cadeia | O nome do recurso. Para regras de análise, este é o nome da regra. |
| Estado | Cadeia |
Success Indica ou Failure para o OperationName. |
| Descrição | Cadeia | Descreve a operação, incluindo os dados expandidos conforme necessário. Por exemplo, para falhas, esta coluna pode indicar o motivo da falha. |
| WorkspaceId | Cadeia | O GUID da área de trabalho no qual ocorreu a atividade auditada. O Identificador de Recursos Azure completo está disponível na coluna SentinelResourceID. |
| SentinelResourceType | Cadeia | O tipo de recurso Microsoft Sentinel a ser monitorizado. |
| SentinelResourceKind | Cadeia | O tipo específico de recurso a ser monitorizado. Por exemplo, para regras de análise: NRT. |
| CorrelationId | Cadeia | O ID de correlação de eventos no formato GUID. |
| Propriedades Expandidas | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | Cadeia | SentinelAudit |
Nomes de operações para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estados |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Êxito Falha |
Propriedades expandidas
Regras de análise
As propriedades expandidas das regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| CallerIpAddress | Cadeia | O endereço IP a partir do qual a ação foi iniciada. |
| CallerName | Cadeia | O utilizador ou aplicação que iniciou a ação. |
| OriginalResourceState | Dinâmico (json) | Um saco JSON que descreve a regra antes da alteração. |
| Motivo | Cadeia | O motivo pelo qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[Cadeia] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | Cadeia | Nome da regra de análise na qual ocorreu a atividade auditada. |
| ResourceGroupName | Cadeia | Grupo de recursos da área de trabalho na qual ocorreu a atividade auditada. |
| ResourceId | Cadeia | O ID do recurso da regra de análise em que ocorreu a atividade auditada. |
| SubscriptionId | Cadeia | O ID da subscrição da área de trabalho na qual ocorreu a atividade auditada. |
| UpdatedResourceState | Dinâmico (json) | Um saco JSON que descreve a regra após a alteração. |
| URI | Cadeia | O ID de recurso de caminho completo da regra de análise. |
| WorkspaceId | Cadeia | O ID do recurso da área de trabalho na qual ocorreu a atividade auditada. |
| WorkspaceName | Cadeia | O nome da área de trabalho na qual ocorreu a atividade auditada. |
Passos seguintes
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
- Monitorizar o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e a integridade das regras de análise.
- Referência de tabelas SentinelHealth