Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les champs des tables SentinelAudit, qui sont utilisés pour l’audit de l’activité utilisateur dans les ressources Microsoft Sentinel. Avec la fonctionnalité d’audit Microsoft Sentinel, vous pouvez conserver des onglets sur les actions effectuées dans votre SIEM et obtenir des informations sur les modifications apportées à votre environnement et les utilisateurs qui ont apporté ces modifications.
Découvrez comment interroger et utiliser la table d’audit pour une surveillance et une visibilité plus approfondies des actions dans votre environnement.
Actuellement, la fonctionnalité d’audit de Microsoft Sentinel couvre uniquement le type de ressource de règle d’analyse, bien que d’autres types puissent être ajoutés ultérieurement. La plupart des champs de données des tableaux suivants s’appliquent aux types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent une façon ou l’autre.
Schéma des colonnes de table SentinelAudit
Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelAudit :
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| TenantId | Chaîne | ID de locataire de votre espace de travail Microsoft Sentinel. |
| TimeGenerated | Date et Heure | Heure (UTC) à laquelle l’activité auditée s’est produite. |
| OperationName | Chaîne | Opération Azure enregistrée. Par exemple: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Chaîne | Identificateur unique de l’espace de travail Microsoft Sentinel et de la ressource associée sur laquelle l’activité auditée s’est produite. |
| SentinelResourceName | Chaîne | Nom de la ressource. Pour les règles d’analyse, il s’agit du nom de la règle. |
| Statut | Chaîne | Indique Success ou Failure pour OperationName. |
| Description | Chaîne | Décrit l’opération, y compris les données étendues en fonction des besoins. Par exemple, pour les échecs, cette colonne peut indiquer la raison de l’échec. |
| WorkspaceId | Chaîne | GUID de l’espace de travail sur lequel l’activité auditée s’est produite. L’identificateur de ressource Azure complet est disponible dans la colonne SentinelResourceID . |
| SentinelResourceType | Chaîne | Type de ressource Microsoft Sentinel surveillé. |
| SentinelResourceKind | Chaîne | Type spécifique de ressource surveillé. Par exemple, pour les règles d’analyse : NRT. |
| CorrelationId | Chaîne | ID de corrélation d’événement au format GUID. |
| ExtendedProperties | Dynamique (json) | Conteneur JSON qui varie selon la valeur OperationName et l’état de l’événement. Pour plus d’informations, consultez les propriétés étendues . |
| Type | Chaîne | SentinelAudit |
Noms des opérations pour différents types de ressources
| Types de ressource | Noms des opérations | Statuses |
|---|---|---|
| Règles d’analyse | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
Propriétés étendues
Règles analytiques
Les propriétés étendues pour les règles d’analytique reflètent certains paramètres de règle.
| ColumnName | ColumnType | Descriptif |
|---|---|---|
| CallerIpAddress | Chaîne | Adresse IP à partir de laquelle l’action a été lancée. |
| CallerName | Chaîne | Utilisateur ou application qui a lancé l’action. |
| OriginalResourceState | Dynamique (json) | Un conteneur JSON qui décrit la règle avant la modification. |
| Raison | Chaîne | Raison pour laquelle l’opération a échoué. Par exemple : No permissions. |
| ResourceDiffMemberNames | Array[String] | Tableau des propriétés de la règle qui ont été modifiées par l’activité auditée. Par exemple : ['custom_details','look_back']. |
| ResourceDisplayName | Chaîne | Nom de la règle d’analyse sur laquelle l’activité auditée s’est produite. |
| ResourceGroupName | Chaîne | Groupe de ressources de l’espace de travail sur lequel l’activité auditée s’est produite. |
| ResourceId | Chaîne | ID de ressource de la règle d’analyse sur laquelle l’activité auditée s’est produite. |
| SubscriptionId | Chaîne | ID d’abonnement de l’espace de travail sur lequel l’activité auditée s’est produite. |
| UpdatedResourceState | Dynamique (json) | Un conteneur JSON qui décrit la règle après la modification. |
| URI | Chaîne | ID de ressource de chemin complet de la règle d’analyse. |
| WorkspaceId | Chaîne | ID de ressource de l’espace de travail sur lequel l’activité auditée s’est produite. |
| WorkspaceName | Chaîne | Nom de l’espace de travail sur lequel l’activité auditée s’est produite. |
Étapes suivantes
- Découvrez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Activez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
- Surveillez l’intégrité de vos règles d’automatisation et guides opérationnel.
- Surveillez l’intégrité de vos connecteurs de données.
- Surveillez l’intégrité de vos règles d’analytique.
- Informations de référence sur les tables SentinelHealth