Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los campos de las tablas SentinelAudit, que se usan para auditar la actividad del usuario en Microsoft Sentinel recursos. Con la característica de auditoría de Microsoft Sentinel, puede mantener las pestañas sobre las acciones realizadas en siem y obtener información sobre los cambios realizados en el entorno y los usuarios que realizaron esos cambios.
Obtenga información sobre cómo consultar y usar la tabla de auditoría para una supervisión y visibilidad más detalladas de las acciones en su entorno.
La característica de auditoría de Microsoft Sentinel cubre actualmente solo el tipo de recurso de regla de análisis, aunque se pueden agregar otros tipos más adelante. Muchos de los campos de datos de las tablas siguientes se aplicarán entre tipos de recursos, pero algunos tienen aplicaciones específicas para cada tipo. Las descripciones siguientes indicarán una forma u otra.
Esquema de columnas de tabla SentinelAudit
En la tabla siguiente se describen las columnas y los datos generados en la tabla de datos SentinelAudit:
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | Cadena | Identificador de inquilino del área de trabajo de Microsoft Sentinel. |
| TimeGenerated | Datetime | Hora (UTC) a la que se produjo la actividad auditada. |
| OperationName | Cadena | La operación de Azure que se está grabando. Por ejemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Cadena | Identificador único del área de trabajo de Microsoft Sentinel y el recurso asociado en el que se produjo la actividad auditada. |
| SentinelResourceName | Cadena | Nombre del recurso. Para las reglas de análisis, este es el nombre de la regla. |
| Estado | Cadena | Indica Success o Failure para OperationName. |
| Descripción | Cadena | Describe la operación, incluidos los datos extendidos según sea necesario. Por ejemplo, para los errores, esta columna podría indicar el motivo del error. |
| WorkspaceId | Cadena | GUID del área de trabajo en la que se produjo la actividad auditada. El identificador de recurso Azure completo está disponible en la columna SentinelResourceID. |
| SentinelResourceType | Cadena | El tipo de recurso Microsoft Sentinel que se está supervisando. |
| SentinelResourceKind | Cadena | Tipo específico de recurso que se está supervisando. Por ejemplo, para las reglas de análisis: NRT. |
| CorrelationId | Cadena | Identificador de correlación de eventos en formato GUID. |
| ExtendedProperties | Dinámico (json) | Contenedor JSON que varía según el valor operationname y el estado del evento. Consulte Propiedades extendidas para obtener más información. |
| Tipo | Cadena | SentinelAudit |
Nombres de operación para diferentes tipos de recursos
| Tipos de recursos | Nombres de operación | Estados |
|---|---|---|
| Reglas de análisis | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Correcto Error |
Propiedades extendidas
Reglas de análisis
Las propiedades extendidas de las reglas de análisis reflejan cierta configuración de regla.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIpAddress | Cadena | Dirección IP desde la que se inició la acción. |
| CallerName | Cadena | El usuario o la aplicación que inició la acción. |
| OriginalResourceState | Dinámico (json) | Contenedor JSON que describe la regla antes del cambio. |
| Motivo | Cadena | Motivo por el que se produjo un error en la operación. Por ejemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[String] | Matriz de las propiedades de la regla que cambió la actividad auditada. Por ejemplo: ['custom_details','look_back']. |
| ResourceDisplayName | Cadena | Nombre de la regla de análisis en la que se produjo la actividad auditada. |
| ResourceGroupName | Cadena | Grupo de recursos del área de trabajo en la que se produjo la actividad auditada. |
| ResourceId | Cadena | Identificador de recurso de la regla de análisis en la que se produjo la actividad auditada. |
| SubscriptionId | Cadena | Identificador de suscripción del área de trabajo en la que se produjo la actividad auditada. |
| UpdatedResourceState | Dinámico (json) | Contenedor JSON que describe la regla después del cambio. |
| Uri | Cadena | Identificador de recurso de ruta de acceso completa de la regla de análisis. |
| WorkspaceId | Cadena | Identificador de recurso del área de trabajo en la que se produjo la actividad auditada. |
| WorkspaceName | Cadena | Nombre del área de trabajo en la que se produjo la actividad auditada. |
Pasos siguientes
- Obtenga información sobre la auditoría y la supervisión del estado en Microsoft Sentinel.
- Active la auditoría y la supervisión de estado en Microsoft Sentinel.
- Supervise el estado de las reglas de automatización y los cuadernos de estrategias.
- Supervise el estado de los conectores de datos.
- Supervise el estado y la integridad de las reglas de análisis.
- Referencia de tablas de SentinelHealth