Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los campos de las tablas SentinelAudit, que se usan para auditar la actividad del usuario en los recursos de Microsoft Sentinel. Con la característica de auditoría de Microsoft Sentinel, puede mantener pestañas sobre las acciones realizadas en SIEM y obtener información sobre los cambios realizados en su entorno y los usuarios que realizaron esos cambios.
Obtenga información sobre cómo consultar y usar la tabla de auditoría para una supervisión y visibilidad más profundas de las acciones en su entorno.
Actualmente, la característica de auditoría de Microsoft Sentinel solo cubre el tipo de recurso de regla de análisis, aunque otros tipos se pueden agregar más adelante. Muchos de los campos de datos de las tablas siguientes se aplicarán en los tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de tabla SentinelAudit
En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelAudit:
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| TenantId | String | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Fecha y hora | Hora (UTC) a la que se produjo la actividad auditada. |
| OperationName | String | Operación de Azure que se está grabando. Por ejemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Identificador único del área de trabajo de Microsoft Sentinel y el recurso asociado en el que se produjo la actividad auditada. |
| SentinelResourceName | String | El nombre del recurso. En el caso de las reglas de análisis, este es el nombre de la regla. |
| Estado | String | Indica Success o Failure para OperationName. |
| Descripción | String | Describe la operación, incluidos los datos extendidos según sea necesario. Por ejemplo, en el caso de los errores, esta columna podría indicar el motivo del error. |
| WorkspaceId | String | GUID del área de trabajo en la que se produjo la actividad auditada. El identificador completo de recursos de Azure está disponible en la columna SentinelResourceID . |
| SentinelResourceType | String | Tipo de recurso de Microsoft Sentinel que se está supervisando. |
| SentinelResourceKind | String | Tipo específico de recurso que se está supervisando. Por ejemplo, para reglas de análisis: NRT. |
| CorrelationId | String | Identificador de correlación de eventos en formato GUID. |
| ExtendedProperties | Dinámico (json) | Contenedor JSON que varía según el valor OperationName y el estado del evento. Consulte Propiedades extendidas para obtener más información. |
| Tipo | String | SentinelAudit |
Nombres de operación para distintos tipos de recursos
| Tipos de recursos | Nombres de operación | Statuses |
|---|---|---|
| Reglas de análisis | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Propiedades extendidas
Reglas de análisis
Las propiedades extendidas para las reglas de análisis reflejan ciertas opciones de configuración de reglas.
| ColumnName | TipoDeColumna | Description |
|---|---|---|
| CallerIpAddress | String | Dirección IP desde la que se inició la acción. |
| CallerName | String | Usuario o aplicación que inició la acción. |
| OriginalResourceState | Dinámico (json) | Contenedor JSON que describe la regla antes del cambio. |
| Razón | String | Motivo por el que se produjo un error en la operación. Por ejemplo: No permissions. |
| ResourceDiffMemberNames | Array[String] | Matriz de las propiedades de la regla que cambió la actividad auditada. Por ejemplo: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nombre de la regla de análisis en la que se produjo la actividad auditada. |
| ResourceGroupName | String | Grupo de recursos del área de trabajo en la que se produjo la actividad auditada. |
| ResourceId | String | Identificador de recurso de la regla de análisis en la que se produjo la actividad auditada. |
| SubscriptionId | String | Identificador de suscripción del área de trabajo en la que se produjo la actividad auditada. |
| UpdatedResourceState | Dinámico (json) | Contenedor JSON que describe la regla después del cambio. |
| Uri | String | Identificador de recurso de ruta de acceso completa de la regla de análisis. |
| WorkspaceId | String | Identificador de recurso del área de trabajo en la que se produjo la actividad auditada. |
| WorkspaceName | String | Nombre del área de trabajo en la que se produjo la actividad auditada. |
Pasos siguientes
- Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
- Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
- Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
- Supervisión del estado de los conectores de datos.
- Supervisión del estado y la integridad de las reglas de análisis.
- Referencia de tablas sentinelHealth