Microsoft Sentinel 稽核資料表參考

本文說明 SentinelAudit 資料表中的欄位，這些欄位可用來稽核 Microsoft Sentinel 資源中的使用者活動。使用 Microsoft Sentinel 稽核功能，您可以密切注意 SIEM 中採取的動作，並取得對環境所做的任何變更以及進行這些變更的使用者的相關資訊。

瞭解如何查詢及使用稽核資料表，以更深入地監控和檢視環境中的動作。

Microsoft Sentinel 的稽核功能目前僅涵蓋分析規則資源類型，但稍後可能會新增其他類型。下表中的許多資料欄位將套用至資源類型，但有些欄位對每種類型都有特定的應用程式。下面的描述將指示一種或另一種方式。

SentinelAudit 資料表資料行結構描述

下表說明 SentinelAudit 資料表中產生的資料行和資料：

ColumnName	欄位類型	Description
租戶標識碼	繩子	Microsoft Sentinel 工作區的租用戶識別碼。
時間生成	日期時間	稽核活動發生的時間（UTC）。
作業名稱	繩子	正在記錄的 Azure 作業。例如： - `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`
SentinelResourceId	繩子	Microsoft Sentinel 工作區的唯一識別碼，以及發生稽核活動的相關聯資源。
SentinelResourceName	繩子	資源名稱。對於分析規則，這是規則名稱。
地位	繩子	表示 `Success`OperationName 的或`Failure`。
說明	繩子	描述作業，包括視需要的擴充資料。例如，對於失敗，此直欄可能會指出失敗原因。
工作區標識	繩子	發生稽核活動的工作區 GUID。完整的 Azure 資源識別碼可在 SentinelResourceID 資料行中找到。
SentinelResourceType	繩子	正在監視的 Microsoft Sentinel 資源類型。
SentinelResourceKind	繩子	所監視資源的特定類型。例如，對於分析規則： `NRT`。
CorrelationId	繩子	GUID 格式的事件相互關聯識別碼。
擴充屬性	動態（json）	JSON 包，會因事件的 OperationName 值和狀態而異。如需詳細資訊，請參閱擴充內容。
Type	繩子	`SentinelAudit`

資源類型	作業名稱	Statuses
分析規則	- `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`	成功 Failure

分析規則的擴充屬性會反映特定規則設定。

ColumnName	欄位類型	Description
來電者 IP 位址	繩子	從中起始動作的 IP 位址。
來電者名稱	繩子	起始動作的使用者或應用程式。
原始資源狀態	動態（json）	描述變更前規則的 JSON 包。
緣	繩子	操作失敗的原因。例如： `No permissions` 。
ResourceDiffMember名稱	陣列[字串]	已稽核活動所變更的規則屬性陣列。例如： `['custom_details','look_back']` 。
資源顯示名稱	繩子	發生稽核活動的分析規則名稱。
資源群組名稱	繩子	發生稽核活動之工作區的資源群組。
資源標識碼	繩子	發生稽核活動之分析規則的資源識別碼。
訂閱標識碼	繩子	發生稽核活動之工作區的訂閱識別碼。
UpdatedResourceState	動態（json）	描述變更後規則的 JSON 包。
烏里	繩子	分析規則的完整路徑資源識別碼。
工作區標識	繩子	發生稽核活動之工作區的資源識別碼。
工作區名稱	繩子	發生稽核活動的工作區名稱。

此頁面對您有幫助嗎？