Microsoft Sentinel 稽核資料表參考
本文說明 SentinelAudit 資料表中的欄位,這些欄位用於稽核 Microsoft Sentinel 資源中的使用者活動。 使用 Microsoft Sentinel 稽核功能,您可以保留 SIEM 中所採取動作的索引標籤,並取得對您的環境所做的任何變更和進行這些變更的使用者的相關資訊。
瞭解如何 查詢和使用稽核資料表 ,以更深入地監視及查看您環境中的動作。
重要
SentinelAudit資料表目前處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
Microsoft Sentinel 的稽核功能目前僅涵蓋分析規則資源類型,但稍後可能會新增其他類型。 下表中的許多資料欄位都會套用到資源類型,但有些會針對每個類型都有特定的應用程式。 下列描述將指出一種方式或其中一個方式。
SentinelAudit 資料表資料行架構
下表描述 SentinelAudit 資料表中產生的資料行和資料:
| ColumnName | ColumnType | 描述 |
|---|---|---|
| TenantId | String | Microsoft Sentinel 工作區的租用戶識別碼。 |
| TimeGenerated | Datetime | 發生稽核活動的時間 (UTC) 。 |
| OperationName | String | 正在記錄的 Azure 作業。 例如: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Microsoft Sentinel 工作區的唯一識別碼,以及發生稽核活動的相關資源。 |
| SentinelResourceName | String | 資源名稱。 針對分析規則,這是規則名稱。 |
| 狀態 | String | 表示 SuccessOperationName的 或 Failure 。 |
| 說明 | String | 描述作業,包括視需要擴充的資料。 例如,針對失敗,此資料行可能會指出失敗原因。 |
| WorkspaceId | String | 發生稽核活動的工作區 GUID。 在 SentinelResourceID 資料行中可用的完整 Azure 資源識別碼。 |
| SentinelResourceType | String | 要監視的 Microsoft Sentinel 資源類型。 |
| SentinelResourceKind | String | 要監視的特定資源類型。 例如,針對分析規則: NRT 。 |
| CorrelationId | String | GUID 格式的事件相互關聯識別碼。 |
| ExtendedProperties | Dynamic (json) | 因 OperationName 值和事件狀態而異的 JSON 包。 如需詳細資料,請參閱擴充屬性。 |
| 型別 | String | SentinelAudit |
不同資源類型的作業名稱
| 資源類型 | 作業名稱 | 狀態 |
|---|---|---|
| Analytics 規則 | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success 失敗 |
擴充屬性
Analytics 規則
分析規則的擴充屬性會反映特定 規則設定。
| ColumnName | ColumnType | 描述 |
|---|---|---|
| CallerIpAddress | String | 起始動作的 IP 位址。 |
| CallerName | String | 起始動作的使用者或應用程式。 |
| OriginalResourceState | Dynamic (json) | 描述變更前規則的 JSON 包。 |
| 原因 | String | 作業失敗的原因。 例如:No permissions。 |
| ResourceDiffMemberNames | Array[String] | 稽核活動所變更之規則屬性的陣列。 例如:['custom_details','look_back']。 |
| ResourceDisplayName | String | 發生稽核活動的分析規則名稱。 |
| resourceGroupName | String | 發生稽核活動之工作區的資源群組。 |
| ResourceId | String | 發生稽核活動之分析規則的資源識別碼。 |
| SubscriptionId | String | 發生稽核活動之工作區的訂用帳戶識別碼。 |
| UpdatedResourceState | Dynamic (json) | 描述變更後規則的 JSON 包。 |
| Uri | String | 分析規則的完整路徑資源識別碼。 |
| WorkspaceId | String | 發生稽核活動之工作區的資源識別碼。 |
| WorkspaceName | String | 發生稽核活動的工作區名稱。 |
下一步
- 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視。
- 監視自動化規則和劇本的健康情況。
- 監視資料連線器的健康情況。
- 監視分析規則的健康情況和完整性。
- SentinelHealth 資料表參考