이 문서에서는 Microsoft Sentinel 리소스의 사용자 활동을 감사하는 데 사용되는 SentinelAudit 테이블의 필드에 대해 설명합니다. Microsoft Sentinel 감사 기능을 사용하면 SIEM에서 수행된 작업을 감시하고 사용자 환경 및 변경한 사용자에 대한 정보를 가져올 수 있습니다.
감사 테이블을 쿼리하고 사용하여 사용자 환경에서 작업의 심층적인 모니터링 및 가시성을 파악하는 방법을 알아봅니다.
Microsoft Sentinel의 감사 기능은 현재 분석 규칙 리소스 종류만 다루지만 나중에 다른 형식을 추가할 수 있습니다. 다음 표의 많은 데이터 필드가 리소스 유형에 적용되지만 일부 데이터 필드에는 각 형식에 대한 특정 애플리케이션이 있습니다. 아래 설명은 한 가지 방법 또는 다른 방법을 나타냅니다.
SentinelAudit 테이블 열 스키마
다음 표에서는 SentinelAudit 데이터 테이블에서 생성된 열 및 데이터에 대해 설명합니다.
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| 테넌트 ID | String | Microsoft Sentinel 작업 영역의 테넌트 ID입니다. |
| TimeGenerated | 날짜와 시간 | 감사된 활동이 발생한 시간(UTC)입니다. |
| OperationName | String | 기록 중인 Azure 작업입니다. 다음은 그 예입니다. - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Microsoft Sentinel 작업 영역의 고유 식별자 및 감사된 활동이 발생한 관련 리소스입니다. |
| SentinelResourceName | String | 리소스 이름입니다. 분석 규칙의 경우 규칙 이름입니다. |
| 상태 | String |
Failure
OperationName을 나타냅니다Success. |
| 설명 | String | 필요에 따라 확장 데이터를 포함하여 작업을 설명합니다. 예를 들어 실패의 경우 이 열은 실패 이유를 나타낼 수 있습니다. |
| WorkspaceId | String | 감사된 활동이 발생한 작업 영역 GUID입니다. 전체 Azure 리소스 식별자는 SentinelResourceID 열에서 사용할 수 있습니다. |
| SentinelResourceType | String | 모니터링 중인 Microsoft Sentinel 리소스 종류입니다. |
| SentinelResourceKind | String | 모니터링되는 특정 유형의 리소스입니다. 예를 들어 분석 규칙의 경우 : NRT. |
| CorrelationId | String | GUID 형식의 이벤트 상관 관계 ID입니다. |
| ExtendedProperties | 동적(json) |
OperationName 값 및 이벤트의 상태에 따라 달라지는 JSON 모음입니다. 자세한 내용은 확장 속성을 참조하세요. |
| 유형 | String | SentinelAudit |
다양한 리소스 종류에 대한 작업 이름
| 리소스 유형 | 작업 이름 | Statuses |
|---|---|---|
| 분석 규칙 | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
성공 실패 |
확장 속성
Analytics 규칙
분석 규칙에 대한 확장 속성은 특정 규칙 설정을 반영합니다.
| ColumnName | 컬럼타입 | Description |
|---|---|---|
| CallerIpAddress | String | 작업이 시작된 IP 주소입니다. |
| CallerName | String | 작업을 시작한 사용자 또는 애플리케이션입니다. |
| OriginalResourceState | 동적(json) | 변경 전에 규칙을 설명하는 JSON 모음입니다. |
| 이유 | String | 작업이 실패한 이유입니다. 예: No permissions. |
| ResourceDiffMemberNames | Array[String] | 감사된 활동에 의해 변경된 규칙의 속성 배열입니다. 예: ['custom_details','look_back']. |
| ResourceDisplayName | String | 감사된 활동이 발생한 분석 규칙의 이름입니다. |
| ResourceGroupName | String | 감사된 활동이 발생한 작업 영역의 리소스 그룹입니다. |
| 리소스 ID | String | 감사된 활동이 발생한 분석 규칙의 리소스 ID입니다. |
| 구독 ID | String | 감사된 활동이 발생한 작업 영역의 구독 ID입니다. |
| UpdatedResourceState | 동적(json) | 변경 후 규칙을 설명하는 JSON 모음입니다. |
| Uri | String | 분석 규칙의 전체 경로 리소스 ID입니다. |
| WorkspaceId | String | 감사된 활동이 발생한 작업 영역의 리소스 ID입니다. |
| WorkspaceName | String | 감사된 활동이 발생한 작업 영역의 이름입니다. |
다음 단계
- Microsoft Sentinel의 감사 및 상태 모니터링에 대해 알아봅니다.
- Microsoft Sentinel에서 감사 및 상태 모니터링을 활성화합니다.
- 자동화 규칙 및 플레이북의 상태를 모니터링합니다.
- 데이터 커넥터의 상태를 모니터링합니다.
- 분석 규칙의 상태 및 무결성을 모니터링합니다.
- SentinelHealth 테이블 참조