Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Sentinel kaynaklarda kullanıcı etkinliğini denetlemek için kullanılan SentinelAudit tablolarındaki alanlar açıklanmaktadır. Microsoft Sentinel denetim özelliğiyle, SIEM'inizde gerçekleştirilen eylemlerin sekmelerini tutabilir ve ortamınızda yapılan değişiklikler ve bu değişiklikleri yapan kullanıcılar hakkında bilgi alabilirsiniz.
Ortamınızdaki eylemleri daha ayrıntılı izlemek ve görünürlük sağlamak için denetim tablosunu sorgulamayı ve kullanmayı öğrenin.
Microsoft Sentinel denetim özelliği şu anda yalnızca analiz kuralı kaynak türünü kapsar ancak daha sonra başka türler eklenebilir. Aşağıdaki tablolardaki veri alanlarının çoğu kaynak türlerine uygulanır, ancak bazılarında her tür için belirli uygulamalar bulunur. Aşağıdaki açıklamalar bir yolu veya diğerini gösterir.
SentinelAudit tablo sütunları şeması
Aşağıdaki tabloda SentinelAudit veri tablosunda oluşturulan sütunlar ve veriler açıklanmaktadır:
| Columnname | Columntype | Açıklama |
|---|---|---|
| TenantId | Dize | Microsoft Sentinel çalışma alanınızın kiracı kimliği. |
| TimeGenerated | Datetime | Denetlenen etkinliğin gerçekleştiği saat (UTC). |
| OperationName | Dize | Kaydedilen Azure işlemi. Örneğin: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Dize | Microsoft Sentinel çalışma alanının ve denetlenen etkinliğin gerçekleştiği ilişkili kaynağın benzersiz tanımlayıcısı. |
| SentinelResourceName | Dize | Kaynak adı. Analiz kuralları için kural adı budur. |
| Durum | Dize |
Success için veya Failure öğesini gösterir. |
| Açıklama | Dize | Gerektiğinde genişletilmiş veriler de dahil olmak üzere işlemi açıklar. Örneğin, hatalar için bu sütun hatanın nedenini gösterebilir. |
| WorkspaceId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanı GUID'i. Tam Azure Kaynak Tanımlayıcısı SentinelResourceID sütununda bulunur. |
| SentinelResourceType | Dize | İzlenen Microsoft Sentinel kaynak türü. |
| SentinelResourceKind | Dize | İzlenen kaynağın belirli türü. Örneğin, analiz kuralları için: NRT. |
| Correlationıd | Dize | GUID biçimindeki olay bağıntı kimliği. |
| ExtendedProperties | Dinamik (json) |
OperationName değerine ve olayın Durumuna göre değişen bir JSON paketi. Ayrıntılar için bkz. Genişletilmiş özellikler . |
| Tür | Dize | SentinelAudit |
Farklı kaynak türleri için işlem adları
| Kaynak türleri | İşlem adları | Durum |
|---|---|---|
| Analiz kuralları | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Başarı Başarısızlık |
Genişletilmiş özellikler
Analiz kuralları
Analiz kuralları için genişletilmiş özellikler belirli kural ayarlarını yansıtır.
| Columnname | Columntype | Açıklama |
|---|---|---|
| CallerIpAddress | Dize | Eylemin başlatıldığı IP adresi. |
| Arayan Adı | Dize | Eylemi başlatan kullanıcı veya uygulama. |
| OriginalResourceState | Dinamik (json) | Değişiklik öncesinde kuralı açıklayan bir JSON paketi. |
| Neden | Dize | İşlemin başarısız olmasının nedeni. Örneğin: No permissions. |
| ResourceDiffMemberNames | Dizi[Dize] | Denetlenen etkinlik tarafından değiştirilen kuralın özellikleri dizisi. Örneğin: ['custom_details','look_back']. |
| ResourceDisplayName | Dize | Denetlenen etkinliğin gerçekleştiği analiz kuralının adı. |
| ResourceGroupName | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak grubu. |
| Resourceıd | Dize | Denetlenen etkinliğin gerçekleştiği analiz kuralının kaynak kimliği. |
| SubscriptionId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının abonelik kimliği. |
| UpdatedResourceState | Dinamik (json) | Değişiklik sonrasında kuralı açıklayan bir JSON paketi. |
| Urı | Dize | Analiz kuralının tam yol kaynak kimliği. |
| WorkspaceId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak kimliği. |
| Workspacename | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının adı. |
Sonraki adımlar
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Microsoft Sentinel'de denetim ve sistem durumu izlemeyi açın.
- Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
- Veri bağlayıcılarınızın durumunu izleyin.
- Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
- SentinelHealth tabloları başvurusu