Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются поля в таблицах SentinelAudit, которые используются для аудита действий пользователей в ресурсах Microsoft Sentinel. С помощью функции аудита Microsoft Sentinel вы можете следить за действиями, выполненными в SIEM, и получать сведения о любых изменениях, внесенных в вашу среду, и пользователей, которые внесли эти изменения.
Узнайте, как запрашивать и использовать таблицу аудита для более глубокого мониторинга и видимости действий в вашей среде.
Функция аудита Microsoft Sentinel в настоящее время охватывает только тип ресурса правила аналитики, хотя другие типы могут быть добавлены позже. Многие поля данных в следующих таблицах применяются к типам ресурсов, но некоторые имеют определенные приложения для каждого типа. Приведенные ниже описания указывают один или другой способ.
Схема столбцов таблицы SentinelAudit
В следующей таблице описаны столбцы и данные, созданные в таблице данных SentinelAudit:
| ColumnName | Тип столбца | Description |
|---|---|---|
| TenantId (Идентификатор клиента) | String | Идентификатор клиента для рабочей области Microsoft Sentinel. |
| TimeGenerated | Дата и время | Время (UTC), в течение которого произошло проверенное действие. |
| OperationName | String | Записываемая операция Azure. Рассмотрим пример. - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Уникальный идентификатор рабочей области Microsoft Sentinel и связанного ресурса, для которого произошло проверенное действие. |
| SentinelResourceName | String | Имя ресурса. Для правил аналитики это имя правила. |
| Статус | String | Указывает Success или Failure для имени операции. |
| Описание | String | Описывает операцию, включая расширенные данные по мере необходимости. Например, для сбоев этот столбец может указать причину сбоя. |
| WorkspaceId | String | GUID рабочей области, в которой произошло аудит активности. Полный идентификатор ресурса Azure доступен в столбце SentinelResourceID . |
| SentinelResourceType | String | Отслеживаемый тип ресурса Microsoft Sentinel. |
| SentinelResourceKind | String | Определенный тип отслеживаемого ресурса. Например, для правил аналитики: NRT |
| CorrelationId (Идентификатор корреляции) | String | Идентификатор корреляции событий в формате GUID. |
| ExtendedProperties | Dynamic (json) | Пакет JSON, который зависит от значения OperationName и состояния события. Дополнительные сведения см. в расширенных свойствах . |
| Тип | String | SentinelAudit |
Имена операций для различных типов ресурсов
| Типы ресурсов | Имена операций | Statuses |
|---|---|---|
| Правила аналитики | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Расширенные свойства
Правила аналитики
Расширенные свойства для правил аналитики отражают определенные параметры правила.
| ColumnName | Тип столбца | Description |
|---|---|---|
| CallerIpAddress | String | IP-адрес, из которого было инициировано действие. |
| CallerName | String | Пользователь или приложение, инициирующее действие. |
| OriginalResourceState | Dynamic (json) | Пакет JSON, описывающий правило перед изменением. |
| Причина | String | Причина сбоя операции. Например: No permissions. |
| ResourceDiffMemberNames | Массив[строка] | Массив свойств правила, измененных аудитом. Например: ['custom_details','look_back']. |
| ResourceDisplayName | String | Имя правила аналитики, для которого произошло проверенное действие. |
| ResourceGroupName | String | Группа ресурсов рабочей области, в которой произошло проверенное действие. |
| ResourceId (Идентификатор ресурса) | String | Идентификатор ресурса правила аналитики, для которого произошло проверенное действие. |
| SubscriptionId (SubscriptionId) | String | Идентификатор подписки рабочей области, в которой произошло проверенное действие. |
| ОбновленоResourceState | Dynamic (json) | Пакет JSON, описывающий правило после изменения. |
| Ури | String | Идентификатор ресурса полного пути правила аналитики. |
| WorkspaceId | String | Идентификатор ресурса рабочей области, в которой произошло проверенное действие. |
| Имя рабочей области | String | Имя рабочей области, в которой произошло проверенное действие. |
Дальнейшие шаги
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Отслеживайте работоспособность и целостность правил аналитики.
- Справочник по таблицам SentinelHealth