Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Felder in den SentinelAudit-Tabellen beschrieben, die für die Überwachung von Benutzeraktivitäten in Microsoft Sentinel-Ressourcen verwendet werden. Mit dem Microsoft Sentinel-Überwachungsfeature können Sie Registerkarten über die Aktionen in Ihrem SIEM behalten und Informationen zu änderungen an Ihrer Umgebung und zu den Benutzern abrufen, die diese Änderungen vorgenommen haben.
Erfahren Sie, wie Sie die Überwachungstabelle abfragen und verwenden , um Aktionen in Ihrer Umgebung genauer zu überwachen und sichtbar zu machen.
Das Überwachungsfeature von Microsoft Sentinel deckt derzeit nur den Ressourcentyp der Analyseregel ab, andere Typen können jedoch später hinzugefügt werden. Viele der Datenfelder in den folgenden Tabellen gelten für alle Ressourcentypen, aber einige weisen bestimmte Anwendungen für jeden Typ auf. Die folgenden Beschreibungen geben eine Oder die andere an.
SentinelAudit-Tabellenspaltenschema
In der folgenden Tabelle werden die Spalten und Daten beschrieben, die in der SentinelAudit-Datentabelle generiert werden:
| ColumnName | Spaltentyp | Description |
|---|---|---|
| Mieter-ID | String | Die Mandanten-ID für Ihren Microsoft Sentinel-Arbeitsbereich. |
| TimeGenerated | Datum und Uhrzeit | Die Zeit (UTC), zu der die überwachte Aktivität aufgetreten ist. |
| OperationName | String | Der Azure-Vorgang, der aufgezeichnet wird. Beispiel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Der eindeutige Bezeichner des Microsoft Sentinel-Arbeitsbereichs und die zugeordnete Ressource, auf der die überwachte Aktivität aufgetreten ist. |
| SentinelResourceName | String | Der Name der Ressource. Bei Analyseregeln ist dies der Regelname. |
| Status | String | Gibt Success an oder Failure für den OperationName. |
| Beschreibung | String | Beschreibt den Vorgang, einschließlich erweiterter Daten nach Bedarf. Bei Fehlern kann diese Spalte z. B. den Fehlergrund angeben. |
| WorkspaceId | String | Die Arbeitsbereichs-GUID, für die die überwachte Aktivität aufgetreten ist. Der vollständige Azure-Ressourcenbezeichner ist in der Spalte SentinelResourceID verfügbar. |
| SentinelResourceType | String | Der Microsoft Sentinel-Ressourcentyp, der überwacht wird. |
| SentinelResourceKind | String | Der spezifische Typ der zu überwachenden Ressource. Beispiel: für Analyseregeln: NRT. |
| Korrelations-ID | String | Die Ereigniskorrelations-ID im GUID-Format. |
| ExtendedProperties | Dynamic (json) | Eine JSON-Tasche, die je nach Dem OperationName-Wert und dem Status des Ereignisses variiert. Details finden Sie unter "Erweiterte Eigenschaften ". |
| Typ | String | SentinelAudit |
Vorgangsnamen für verschiedene Ressourcentypen
| Ressourcentypen | Vorgangsnamen | Statuses |
|---|---|---|
| Analyseregeln | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Erweiterte Eigenschaften
Analyseregeln
Erweiterte Eigenschaften für Analyseregeln spiegeln bestimmte Regeleinstellungen wider.
| ColumnName | Spaltentyp | Description |
|---|---|---|
| CallerIpAddress | String | Die IP-Adresse, von der die Aktion initiiert wurde. |
| CallerName | String | Der Benutzer oder die Anwendung, der die Aktion initiiert hat. |
| OriginalResourceState | Dynamic (json) | Eine JSON-Tasche, die die Regel vor der Änderung beschreibt. |
| Grund | String | Der Grund, warum der Vorgang fehlgeschlagen ist. Beispiel: No permissions. |
| ResourceDiffMemberNames | Array[Zeichenfolge] | Ein Array der Eigenschaften der Regel, die von der überwachten Aktivität geändert wurden. Beispiel: ['custom_details','look_back']. |
| ResourceDisplayName | String | Name der Analyseregel, für die die überwachte Aktivität aufgetreten ist. |
| ResourceGroupName | String | Ressourcengruppe des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| Ressourcen-ID | String | Die Ressourcen-ID der Analyseregel, für die die überwachte Aktivität aufgetreten ist. |
| Abonnement-ID | String | Die Abonnement-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| UpdatedResourceState | Dynamic (json) | Eine JSON-Tasche, die die Regel nach der Änderung beschreibt. |
| Uri | String | Die vollständige Pfadressourcen-ID der Analyseregel. |
| WorkspaceId | String | Die Ressourcen-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| WorkspaceName | String | Der Name des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
Nächste Schritte
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren Sie die Überprüfung und Gesundheitsüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Automatisierungsregeln und Playbooks
- Überwachen der Integrität der Datenconnectors.
- Überwachen Sie die Gesundheit und Integrität Ihrer Analyseregeln.
- SentinelHealth-Tabellenreferenz