Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются поля в таблицах SentinelAudit, которые используются для аудита активности пользователей в Microsoft Sentinel ресурсах. С помощью функции аудита Microsoft Sentinel можно отслеживать действия, выполняемые в SIEM, и получать сведения о любых изменениях, внесенных в вашу среду и пользователей, которые внесли эти изменения.
Узнайте, как запрашивать и использовать таблицу аудита для более глубокого мониторинга и отслеживания действий в вашей среде.
Функция аудита Microsoft Sentinel в настоящее время охватывает только тип ресурса правила аналитики, хотя другие типы могут быть добавлены позже. Многие поля данных в следующих таблицах будут применяться к типам ресурсов, но некоторые из них имеют определенные приложения для каждого типа. В приведенном ниже описании будет указано, так или иначе.
Схема столбцов таблицы SentinelAudit
В следующей таблице описаны столбцы и данные, созданные в таблице данных SentinelAudit:
| ColumnName | ColumnType | Описание |
|---|---|---|
| Идентификатор клиента | String | Идентификатор клиента для рабочей области Microsoft Sentinel. |
| TimeGenerated | Datetime | Время (UTC), в течение которого произошло действие аудита. |
| OperationName | String | Запись операции Azure. Например, вы можете: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Уникальный идентификатор рабочей области Microsoft Sentinel и связанного ресурса, на котором произошло действие аудита. |
| SentinelResourceName | String | Имя ресурса. Для правил аналитики это имя правила. |
| Статус | String | Указывает Success или Failure для operationName. |
| Описание | String | Описывает операцию, включая расширенные данные по мере необходимости. Например, для сбоев в этом столбце может быть указана причина сбоя. |
| WorkspaceId | String | GUID рабочей области, в которой выполнялось действие аудита. Полный идентификатор ресурса Azure доступен в столбце SentinelResourceID. |
| SentinelResourceType | String | Отслеживаемый тип ресурса Microsoft Sentinel. |
| SentinelResourceKind | String | Конкретный тип отслеживаемого ресурса. Например, для правил аналитики: NRT. |
| Correlationid | String | Идентификатор корреляции событий в формате GUID. |
| ExtendedProperties | Dynamic (json) | Контейнер JSON, который зависит от значения OperationName и состояния события. Дополнительные сведения см. в разделе Расширенные свойства . |
| Type | String | SentinelAudit |
Имена операций для разных типов ресурсов
| Типы ресурсов | Имена операций | Статусы |
|---|---|---|
| Правила аналитики | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Успешно Сбоя |
Расширенные свойства
Правила аналитики
Расширенные свойства для правил аналитики отражают определенные параметры правил.
| ColumnName | ColumnType | Описание |
|---|---|---|
| CallerIpAddress | String | IP-адрес, с которого было инициировано действие. |
| CallerName | String | Пользователь или приложение, которые инициировали действие. |
| OriginalResourceState | Dynamic (json) | Контейнер JSON, описывающий правило перед изменением. |
| Причина | String | Причина сбоя операции. Пример: No permissions. |
| ResourceDiffMemberNames | Array[String] | Массив свойств правила, измененных проверяемым действием. Пример: ['custom_details','look_back']. |
| ResourceDisplayName | String | Имя правила аналитики, в котором выполнялось действие аудита. |
| ResourceGroupName | String | Группа ресурсов рабочей области, в которой было выполнено действие аудита. |
| ResourceId | String | Идентификатор ресурса правила аналитики, в котором было выполнено действие аудита. |
| SubscriptionId | String | Идентификатор подписки рабочей области, в которой выполнялось действие аудита. |
| UpdatedResourceState | Dynamic (json) | Контейнер JSON, описывающий правило после изменения. |
| Uri | String | Полный идентификатор ресурса правила аналитики. |
| WorkspaceId | String | Идентификатор ресурса рабочей области, в которой было выполнено действие аудита. |
| WorkspaceName | String | Имя рабочей области, в которой выполнялось действие аудита. |
Дальнейшие действия
- Сведения об аудите и мониторинге работоспособности в Microsoft Sentinel.
- Включите аудит и мониторинг работоспособности в Microsoft Sentinel.
- Отслеживайте работоспособность правил автоматизации и сборников схем.
- Отслеживайте работоспособность соединителей данных.
- Отслеживайте работоспособность и целостность правил аналитики.
- Справочник по таблицам SentinelHealth