denetim tabloları başvurusu Microsoft Sentinel

Bu makalede, Microsoft Sentinel kaynaklarda kullanıcı etkinliğini denetlemek için kullanılan SentinelAudit tablolarındaki alanlar açıklanmaktadır. Microsoft Sentinel denetim özelliğiyle, SIEM'inizde gerçekleştirilen eylemlerin sekmelerini tutabilir ve ortamınızda yapılan değişiklikler ve bu değişiklikleri yapan kullanıcılar hakkında bilgi alabilirsiniz.

Ortamınızdaki eylemleri daha ayrıntılı izlemek ve görünürlük sağlamak için denetim tablosunu sorgulamayı ve kullanmayı öğrenin.

Microsoft Sentinel denetim özelliği şu anda yalnızca analiz kuralı kaynak türünü kapsar ancak daha sonra başka türler eklenebilir. Aşağıdaki tablolardaki veri alanlarının çoğu kaynak türlerine uygulanır, ancak bazılarında her tür için belirli uygulamalar bulunur. Aşağıdaki açıklamalar bir yolu veya diğerini gösterir.

SentinelAudit tablo sütunları şeması

Aşağıdaki tabloda SentinelAudit veri tablosunda oluşturulan sütunlar ve veriler açıklanmaktadır:

Columnname Columntype Açıklama
TenantId Dize Microsoft Sentinel çalışma alanınızın kiracı kimliği.
TimeGenerated Datetime Denetlenen etkinliğin gerçekleştiği saat (UTC).
OperationName Dize Kaydedilen Azure işlemi. Örneğin:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Dize Microsoft Sentinel çalışma alanının ve denetlenen etkinliğin gerçekleştiği ilişkili kaynağın benzersiz tanımlayıcısı.
SentinelResourceName Dize Kaynak adı. Analiz kuralları için kural adı budur.
Durum Dize Success için veya Failure öğesini gösterir.
Açıklama Dize Gerektiğinde genişletilmiş veriler de dahil olmak üzere işlemi açıklar. Örneğin, hatalar için bu sütun hatanın nedenini gösterebilir.
WorkspaceId Dize Denetlenen etkinliğin gerçekleştiği çalışma alanı GUID'i. Tam Azure Kaynak Tanımlayıcısı SentinelResourceID sütununda bulunur.
SentinelResourceType Dize İzlenen Microsoft Sentinel kaynak türü.
SentinelResourceKind Dize İzlenen kaynağın belirli türü. Örneğin, analiz kuralları için: NRT.
Correlationıd Dize GUID biçimindeki olay bağıntı kimliği.
ExtendedProperties Dinamik (json) OperationName değerine ve olayın Durumuna göre değişen bir JSON paketi.
Ayrıntılar için bkz. Genişletilmiş özellikler .
Tür Dize SentinelAudit

Farklı kaynak türleri için işlem adları

Kaynak türleri İşlem adları Durum
Analiz kuralları - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Başarı
Başarısızlık

Genişletilmiş özellikler

Analiz kuralları

Analiz kuralları için genişletilmiş özellikler belirli kural ayarlarını yansıtır.

Columnname Columntype Açıklama
CallerIpAddress Dize Eylemin başlatıldığı IP adresi.
Arayan Adı Dize Eylemi başlatan kullanıcı veya uygulama.
OriginalResourceState Dinamik (json) Değişiklik öncesinde kuralı açıklayan bir JSON paketi.
Neden Dize İşlemin başarısız olmasının nedeni. Örneğin: No permissions.
ResourceDiffMemberNames Dizi[Dize] Denetlenen etkinlik tarafından değiştirilen kuralın özellikleri dizisi. Örneğin: ['custom_details','look_back'].
ResourceDisplayName Dize Denetlenen etkinliğin gerçekleştiği analiz kuralının adı.
ResourceGroupName Dize Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak grubu.
Resourceıd Dize Denetlenen etkinliğin gerçekleştiği analiz kuralının kaynak kimliği.
SubscriptionId Dize Denetlenen etkinliğin gerçekleştiği çalışma alanının abonelik kimliği.
UpdatedResourceState Dinamik (json) Değişiklik sonrasında kuralı açıklayan bir JSON paketi.
Urı Dize Analiz kuralının tam yol kaynak kimliği.
WorkspaceId Dize Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak kimliği.
Workspacename Dize Denetlenen etkinliğin gerçekleştiği çalışma alanının adı.

Sonraki adımlar