Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano pola w tabelach SentinelAudit, które są używane do inspekcji aktywności użytkowników w zasobach Microsoft Sentinel. Dzięki funkcji inspekcji Microsoft Sentinel możesz śledzić akcje wykonywane w rozwiązaniu SIEM i uzyskiwać informacje o wszelkich zmianach wprowadzonych w środowisku i użytkownikach, którzy wprowadzili te zmiany.
Dowiedz się, jak wykonywać zapytania i używać tabeli inspekcji w celu dokładniejszego monitorowania i wglądu w akcje w środowisku.
Funkcja inspekcji Microsoft Sentinel obecnie obejmuje tylko typ zasobu reguły analizy, chociaż inne typy mogą zostać dodane później. Wiele pól danych w poniższych tabelach będzie stosowanych między typami zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jedną lub drugą drogę.
Schemat kolumn tabeli SentinelAudit
W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelAudit:
| Columnname | Columntype | Opis |
|---|---|---|
| Identyfikator dzierżawy | Ciąg | Identyfikator dzierżawy obszaru roboczego Microsoft Sentinel. |
| TimeGenerated | Datetime | Czas (UTC), w którym miała miejsce inspekcja działania. |
| Operationname | Ciąg | Zarejestrowana operacja Azure. Przykład: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Ciąg | Unikatowy identyfikator obszaru roboczego Microsoft Sentinel i skojarzony zasób, na którym miało miejsce inspekcja działania. |
| SentinelResourceName | Ciąg | Nazwa zasobu. W przypadku reguł analizy jest to nazwa reguły. |
| Stan | Ciąg | Wskazuje Success wartość lub Failure dla parametru OperationName. |
| Opis | Ciąg | Opisuje operację, w tym rozszerzone dane w razie potrzeby. Na przykład w przypadku błędów ta kolumna może wskazywać przyczynę niepowodzenia. |
| Identyfikator obszaru roboczego | Ciąg | Identyfikator GUID obszaru roboczego, na którym wystąpiło inspekcja działania. Pełny identyfikator zasobu Azure jest dostępny w kolumnie SentinelResourceID. |
| SentinelResourceType | Ciąg | Monitorowany typ zasobu Microsoft Sentinel. |
| SentinelResourceKind | Ciąg | Określony typ monitorowanego zasobu. Na przykład w przypadku reguł analizy: NRT. |
| Correlationid | Ciąg | Identyfikator korelacji zdarzeń w formacie GUID. |
| Extendedproperties | Dynamiczny (json) | Worek JSON, który różni się w zależności od wartości OperationName i stanu zdarzenia. Aby uzyskać szczegółowe informacje , zobacz Właściwości rozszerzone . |
| Type | Ciąg | SentinelAudit |
Nazwy operacji dla różnych typów zasobów
| Typy zasobów | Nazwy operacji | Statusy |
|---|---|---|
| Reguły analizy | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Sukces Awarii |
Właściwości rozszerzone
Reguły analizy
Właściwości rozszerzone reguł analizy odzwierciedlają określone ustawienia reguł.
| Columnname | Columntype | Opis |
|---|---|---|
| CallerIpAddress | Ciąg | Adres IP, z którego zainicjowano akcję. |
| Nazwa obiektu wywołującego | Ciąg | Użytkownik lub aplikacja, która zainicjowała akcję. |
| OriginalResourceState | Dynamiczny (json) | Worek JSON opisujący regułę przed zmianą. |
| Powodu | Ciąg | Przyczyna niepowodzenia operacji. Przykład: No permissions. |
| ResourceDiffMemberNames | Array[String] | Tablica właściwości reguły, które zostały zmienione przez inspekcję działania. Przykład: ['custom_details','look_back']. |
| ResourceDisplayName | Ciąg | Nazwa reguły analizy, na której wystąpiło inspekcja działania. |
| ResourceGroupName | Ciąg | Grupa zasobów obszaru roboczego, w którym miało miejsce inspekcja działania. |
| Resourceid | Ciąg | Identyfikator zasobu reguły analizy, dla której miało miejsce inspekcja działania. |
| SubscriptionId | Ciąg | Identyfikator subskrypcji obszaru roboczego, w którym miało miejsce inspekcja działania. |
| UpdatedResourceState | Dynamiczny (json) | Worek JSON opisujący regułę po zmianie. |
| Identyfikator uri | Ciąg | Identyfikator zasobu pełnej ścieżki reguły analizy. |
| Identyfikator obszaru roboczego | Ciąg | Identyfikator zasobu obszaru roboczego, w którym miało miejsce inspekcja działania. |
| Nazwa obszaru roboczego | Ciąg | Nazwa obszaru roboczego, w którym miało miejsce inspekcja działania. |
Następne kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w Microsoft Sentinel.
- Włącz inspekcję i monitorowanie kondycji w Microsoft Sentinel.
- Monitorowanie kondycji reguł automatyzacji i podręczników.
- Monitorowanie kondycji łączników danych.
- Monitorowanie kondycji i integralności reguł analizy.
- Dokumentacja tabel SentinelHealth