dokumentacja tabel inspekcji Microsoft Sentinel

W tym artykule opisano pola w tabelach SentinelAudit, które są używane do inspekcji aktywności użytkowników w zasobach Microsoft Sentinel. Dzięki funkcji inspekcji Microsoft Sentinel możesz śledzić akcje wykonywane w rozwiązaniu SIEM i uzyskiwać informacje o wszelkich zmianach wprowadzonych w środowisku i użytkownikach, którzy wprowadzili te zmiany.

Dowiedz się, jak wykonywać zapytania i używać tabeli inspekcji w celu dokładniejszego monitorowania i wglądu w akcje w środowisku.

Funkcja inspekcji Microsoft Sentinel obecnie obejmuje tylko typ zasobu reguły analizy, chociaż inne typy mogą zostać dodane później. Wiele pól danych w poniższych tabelach będzie stosowanych między typami zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jedną lub drugą drogę.

Schemat kolumn tabeli SentinelAudit

W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelAudit:

Columnname Columntype Opis
Identyfikator dzierżawy Ciąg Identyfikator dzierżawy obszaru roboczego Microsoft Sentinel.
TimeGenerated Datetime Czas (UTC), w którym miała miejsce inspekcja działania.
Operationname Ciąg Zarejestrowana operacja Azure. Przykład:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Ciąg Unikatowy identyfikator obszaru roboczego Microsoft Sentinel i skojarzony zasób, na którym miało miejsce inspekcja działania.
SentinelResourceName Ciąg Nazwa zasobu. W przypadku reguł analizy jest to nazwa reguły.
Stan Ciąg Wskazuje Success wartość lub Failure dla parametru OperationName.
Opis Ciąg Opisuje operację, w tym rozszerzone dane w razie potrzeby. Na przykład w przypadku błędów ta kolumna może wskazywać przyczynę niepowodzenia.
Identyfikator obszaru roboczego Ciąg Identyfikator GUID obszaru roboczego, na którym wystąpiło inspekcja działania. Pełny identyfikator zasobu Azure jest dostępny w kolumnie SentinelResourceID.
SentinelResourceType Ciąg Monitorowany typ zasobu Microsoft Sentinel.
SentinelResourceKind Ciąg Określony typ monitorowanego zasobu. Na przykład w przypadku reguł analizy: NRT.
Correlationid Ciąg Identyfikator korelacji zdarzeń w formacie GUID.
Extendedproperties Dynamiczny (json) Worek JSON, który różni się w zależności od wartości OperationName i stanu zdarzenia.
Aby uzyskać szczegółowe informacje , zobacz Właściwości rozszerzone .
Type Ciąg SentinelAudit

Nazwy operacji dla różnych typów zasobów

Typy zasobów Nazwy operacji Statusy
Reguły analizy - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Sukces
Awarii

Właściwości rozszerzone

Reguły analizy

Właściwości rozszerzone reguł analizy odzwierciedlają określone ustawienia reguł.

Columnname Columntype Opis
CallerIpAddress Ciąg Adres IP, z którego zainicjowano akcję.
Nazwa obiektu wywołującego Ciąg Użytkownik lub aplikacja, która zainicjowała akcję.
OriginalResourceState Dynamiczny (json) Worek JSON opisujący regułę przed zmianą.
Powodu Ciąg Przyczyna niepowodzenia operacji. Przykład: No permissions.
ResourceDiffMemberNames Array[String] Tablica właściwości reguły, które zostały zmienione przez inspekcję działania. Przykład: ['custom_details','look_back'].
ResourceDisplayName Ciąg Nazwa reguły analizy, na której wystąpiło inspekcja działania.
ResourceGroupName Ciąg Grupa zasobów obszaru roboczego, w którym miało miejsce inspekcja działania.
Resourceid Ciąg Identyfikator zasobu reguły analizy, dla której miało miejsce inspekcja działania.
SubscriptionId Ciąg Identyfikator subskrypcji obszaru roboczego, w którym miało miejsce inspekcja działania.
UpdatedResourceState Dynamiczny (json) Worek JSON opisujący regułę po zmianie.
Identyfikator uri Ciąg Identyfikator zasobu pełnej ścieżki reguły analizy.
Identyfikator obszaru roboczego Ciąg Identyfikator zasobu obszaru roboczego, w którym miało miejsce inspekcja działania.
Nazwa obszaru roboczego Ciąg Nazwa obszaru roboczego, w którym miało miejsce inspekcja działania.

Następne kroki