Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os campos nas tabelas SentinelAudit, que são usados para auditar a atividade do usuário nos recursos do Microsoft Sentinel. Com o recurso de auditoria do Microsoft Sentinel, você pode acompanhar as ações realizadas em seu SIEM e obter informações sobre quaisquer alterações feitas em seu ambiente e os usuários que fizeram essas alterações.
Saiba como consultar e usar a tabela de auditoria para um monitoramento mais profundo e visibilidade das ações em seu ambiente.
Atualmente, o recurso de auditoria do Microsoft Sentinel cobre apenas o tipo de recurso de regra de análise, embora outros tipos possam ser adicionados posteriormente. Muitos dos campos de dados nas tabelas a seguir serão aplicados entre tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão um caminho ou outro.
Esquema de colunas da tabela SentinelAudit
A tabela a seguir descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| Identificação do locatário | Cordão | A ID do locatário para seu espaço de trabalho do Microsoft Sentinel. |
| Gerado por tempo | Data e hora | A hora (UTC) em que a atividade auditada ocorreu. |
| Nome da operação | Cordão | A operação do Azure que está sendo registrada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Cordão | O identificador exclusivo do espaço de trabalho do Microsoft Sentinel e o recurso associado no qual a atividade auditada ocorreu. |
| SentinelResourceName | Cordão | O nome do recurso. Para regras de análise, este é o nome da regra. |
| Situação | Cordão | Indica Success ou Failure para o OperationName. |
| Descrição | Cordão | Descreve a operação, incluindo dados estendidos conforme necessário. Por exemplo, para falhas, esta coluna pode indicar o motivo da falha. |
| WorkspaceId | Cordão | O GUID do espaço de trabalho no qual a atividade auditada ocorreu. O Identificador de Recursos do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | Cordão | O tipo de recurso Microsoft Sentinel que está sendo monitorado. |
| SentinelResourceKind | Cordão | O tipo específico de recurso que está sendo monitorado. Por exemplo, para regras de análise: NRT. |
| CorrelationId | Cordão | O ID de correlação de eventos no formato GUID. |
| ExtendedProperties | Dinâmica (json) | Um saco JSON que varia de acordo com o valor OperationName e o Status do evento. Consulte Propriedades estendidas para obter detalhes. |
| Type | Cordão | SentinelAudit |
Nomes de operação para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estatutos |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Sucesso Failure |
Propriedades estendidas
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regras.
| ColumnName | Tipo de coluna | Description |
|---|---|---|
| CallerIpAddress | Cordão | O endereço IP a partir do qual a ação foi iniciada. |
| Nome do chamador | Cordão | O usuário ou aplicativo que iniciou a ação. |
| OriginalResourceState | Dinâmica (json) | Um saco JSON que descreve a regra antes da alteração. |
| Justificação | Cordão | A razão pela qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[String] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | Cordão | Nome da regra de análise na qual a atividade auditada ocorreu. |
| ResourceGroupName | Cordão | Grupo de recursos do espaço de trabalho no qual a atividade auditada ocorreu. |
| ResourceId | Cordão | O ID do recurso da regra de análise na qual a atividade auditada ocorreu. |
| SubscriptionId | Cordão | A ID de assinatura do espaço de trabalho no qual a atividade auditada ocorreu. |
| UpdatedResourceState | Dinâmica (json) | Um saco JSON que descreve a regra após a alteração. |
| Uri | Cordão | O ID de recurso de caminho completo da regra de análise. |
| WorkspaceId | Cordão | A ID do recurso do espaço de trabalho no qual a atividade auditada ocorreu. |
| Nome do espaço de trabalho | Cordão | O nome do espaço de trabalho no qual a atividade auditada ocorreu. |
Próximos passos
- Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras e playbooks de automação.
- Monitore a integridade dos conectores de dados.
- Monitore a saúde e a integridade das suas regras de análise.
- Referência das tabelas SentinelHealth