Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os campos nas tabelas SentinelAudit, que são usados para auditar a atividade do usuário nos recursos do Microsoft Sentinel. Com o recurso de auditoria do Microsoft Sentinel, você pode acompanhar as ações executadas em seu SIEM e obter informações sobre as alterações feitas em seu ambiente e os usuários que fizeram essas alterações.
Saiba como consultar e usar a tabela de auditoria para um monitoramento mais profundo e visibilidade das ações em seu ambiente.
O recurso de auditoria do Microsoft Sentinel atualmente abrange apenas o tipo de recurso de regra de análise, embora outros tipos possam ser adicionados posteriormente. Muitos dos campos de dados nas tabelas a seguir serão aplicados entre tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão de uma forma ou de outra.
Esquema de colunas da tabela SentinelAudit
A tabela a seguir descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| ID do inquilino | String | A ID do locatário do workspace do Microsoft Sentinel. |
| TimeGenerated | Data e hora | A hora (UTC) em que a atividade auditada ocorreu. |
| OperationName | String | A operação do Azure que está sendo registrada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | O identificador exclusivo do workspace do Microsoft Sentinel e o recurso associado no qual a atividade auditada ocorreu. |
| SentinelResourceName | String | O nome do recurso. Para regras de análise, esse é o nome da regra. |
| Estado | String |
Success Indica ou Failure para o OperationName. |
| Descrição | String | Descreve a operação, incluindo dados estendidos conforme necessário. Por exemplo, para falhas, essa coluna pode indicar o motivo da falha. |
| WorkspaceId | String | O GUID do workspace no qual a atividade auditada ocorreu. O Identificador de Recurso do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel que está sendo monitorado. |
| SentinelResourceKind | String | O tipo específico de recurso que está sendo monitorado. Por exemplo, para regras de análise: NRT. |
| Identificação de correlação | String | A ID de correlação de evento no formato GUID. |
| ExtendedProperties | Dinâmico (json) | Um saco JSON que varia de acordo com o valor OperationName e o Status do evento. Consulte as propriedades estendidas para obter detalhes. |
| Tipo | String | SentinelAudit |
Nomes de operação para diferentes tipos de recursos
| Tipos de recurso | Nomes de operação | Statuses |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Êxito Failure |
Propriedades estendidas
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regra.
| ColumnName | TipoDeColuna | Description |
|---|---|---|
| CallerIpAddress | String | O endereço IP do qual a ação foi iniciada. |
| CallerName | String | O usuário ou aplicativo que iniciou a ação. |
| OriginalResourceState | Dinâmico (json) | Um saco JSON que descreve a regra antes da alteração. |
| Razão | String | O motivo pelo qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Array[String] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nome da regra de análise na qual a atividade auditada ocorreu. |
| ResourceGroupName | String | Grupo de recursos do workspace no qual a atividade auditada ocorreu. |
| ResourceId | String | A ID do recurso da regra de análise na qual a atividade auditada ocorreu. |
| ID da assinatura | String | A ID da assinatura do workspace no qual a atividade auditada ocorreu. |
| UpdatedResourceState | Dinâmico (json) | Um saco JSON que descreve a regra após a alteração. |
| URI | String | A ID de recurso de caminho completo da regra de análise. |
| WorkspaceId | String | A ID do recurso do workspace no qual a atividade auditada ocorreu. |
| WorkspaceName | String | O nome do workspace no qual a atividade auditada ocorreu. |
Próximas etapas
- Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras de automação e guias estratégicos.
- Monitore a integridade de seus conectores de dados.
- Monitorar a integridade de suas regras de análise.
- Referência de tabelas SentinelHealth