Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano pola w tabelach SentinelAudit, które są używane do inspekcji aktywności użytkowników w zasobach usługi Microsoft Sentinel. Dzięki funkcji inspekcji usługi Microsoft Sentinel możesz śledzić akcje wykonywane w rozwiązaniu SIEM i uzyskiwać informacje na temat wszelkich zmian wprowadzonych w środowisku oraz użytkowników, którzy wprowadzili te zmiany.
Dowiedz się, jak wykonywać zapytania i używać tabeli inspekcji w celu dokładniejszego monitorowania i widoczności akcji w danym środowisku.
Funkcja inspekcji usługi Microsoft Sentinel obecnie obejmuje tylko typ zasobu reguły analizy, choć inne typy można dodać później. Wiele pól danych w poniższych tabelach będzie miało zastosowanie w różnych typach zasobów, ale niektóre mają określone aplikacje dla każdego typu. Poniższe opisy wskazują jedną lub drugą stronę.
Schemat kolumn tabeli SentinelAudit
W poniższej tabeli opisano kolumny i dane wygenerowane w tabeli danych SentinelAudit:
| ColumnName | Typ kolumny | Description |
|---|---|---|
| TenantId (identyfikator dzierżawy) | Sznurek | Identyfikator dzierżawy dla obszaru roboczego usługi Microsoft Sentinel. |
| TimeGenerated | Data i czas | Godzina (UTC), o której wystąpiło przeprowadź inspekcję działania. |
| OperationName | Sznurek | Zarejestrowana operacja platformy Azure. Przykład: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Sznurek | Unikatowy identyfikator obszaru roboczego usługi Microsoft Sentinel i skojarzony zasób, na którym wystąpiło przeprowadź inspekcję działania. |
| SentinelResourceName | Sznurek | Nazwa zasobu. W przypadku reguł analizy jest to nazwa reguły. |
| Stan | Sznurek |
Success Wskazuje wartość lub Failure dla elementu OperationName. |
| Opis | Sznurek | Opisuje operację, w tym rozszerzone dane zgodnie z potrzebami. Na przykład w przypadku błędów ta kolumna może wskazywać przyczynę błędu. |
| Identyfikator obszaru roboczego | Sznurek | Identyfikator GUID obszaru roboczego, na którym wystąpiło działanie inspekcji. Pełny identyfikator zasobu platformy Azure jest dostępny w kolumnie SentinelResourceID . |
| SentinelResourceType | Sznurek | Monitorowany typ zasobu usługi Microsoft Sentinel. |
| SentinelResourceKind | Sznurek | Określony typ monitorowanego zasobu. Na przykład w przypadku reguł analizy: NRT. |
| Identyfikator korelacji | Sznurek | Identyfikator korelacji zdarzeń w formacie GUID. |
| Właściwości rozszerzone | Dynamiczny (json) | Torba JSON, która różni się od wartości OperationName i stanu zdarzenia. Aby uzyskać szczegółowe informacje, zobacz Właściwości rozszerzone . |
| Typ | Sznurek | SentinelAudit |
Nazwy operacji dla różnych typów zasobów
| Typy zasobów | Nazwy operacji | Statusy |
|---|---|---|
| Reguły analizy | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Powodzenie Failure |
Właściwości rozszerzone
Reguły analizy
Rozszerzone właściwości reguł analizy odzwierciedlają określone ustawienia reguły.
| ColumnName | Typ kolumny | Description |
|---|---|---|
| CallerIpAddress | Sznurek | Adres IP, z którego zainicjowano akcję. |
| Nazwa wywołująca | Sznurek | Użytkownik lub aplikacja, która zainicjowała akcję. |
| OriginalResourceState | Dynamiczny (json) | Torba JSON opisującą regułę przed zmianą. |
| Powód | Sznurek | Przyczyna niepowodzenia operacji. Na przykład: No permissions. |
| ResourceDiffMemberNames | Tablica[Ciąg] | Tablica właściwości reguły, które zostały zmienione przez działanie poddane inspekcji. Na przykład: ['custom_details','look_back']. |
| ResourceDisplayName | Sznurek | Nazwa reguły analizy, na której wystąpiło działanie inspekcji. |
| ResourceGroupName | Sznurek | Grupa zasobów obszaru roboczego, w którym wystąpiło działanie inspekcji. |
| Identyfikator zasobu | Sznurek | Identyfikator zasobu reguły analizy, na której wystąpiło przeprowadź inspekcję działania. |
| Identyfikator subskrypcji | Sznurek | Identyfikator subskrypcji obszaru roboczego, w którym wystąpiło przeprowadź inspekcję działania. |
| UpdatedResourceState | Dynamiczny (json) | Torba JSON opisującą regułę po zmianie. |
| Uri | Sznurek | Identyfikator zasobu pełnej ścieżki reguły analizy. |
| Identyfikator obszaru roboczego | Sznurek | Identyfikator zasobu obszaru roboczego, w którym wystąpiło przeprowadź inspekcję działania. |
| Nazwa obszaru roboczego | Sznurek | Nazwa obszaru roboczego, w którym wystąpiło działanie inspekcji. |
Dalsze kroki
- Dowiedz się więcej o inspekcji i monitorowaniu kondycji w usłudze Microsoft Sentinel.
- Włącz inspekcję i monitorowanie kondycji w usłudze Microsoft Sentinel.
- Monitoruj stan reguł automatyzacji i scenariuszy operacyjnych.
- Monitorowanie kondycji łączników danych.
- Monitoruj kondycję i integralność reguł analizy.
- Dokumentacja tabel usługi SentinelHealth