Jaa

Microsoft Sentinel valvontataulukoiden viitetiedot

Tässä artikkelissa kuvataan SentinelAudit-taulukoiden kentät, joita käytetään käyttäjien toiminnan valvontaan Microsoft Sentinel resursseissa. Microsoft Sentinel valvontaominaisuuden avulla voit pitää silmällä siem-laitteessa tehtyjä toimia ja saada tietoja ympäristöösi ja kyseisiin muutoksiin tehdyistä muutoksista.

Lue, miten voit tehdä kyselyjä ja käyttää valvontataulukkoa ympäristösi toimintojen tarkempaa seurantaa ja näkyvyyttä varten.

Microsoft Sentinel valvontaominaisuus kattaa tällä hetkellä vain analytiikkasäännön resurssityypin, mutta muita tyyppejä voidaan lisätä myöhemmin. Monet seuraavien taulukoiden tietokentistä ovat käytössä kaikissa resurssityypeissä, mutta joillakin on omat sovelluksensa kullekin tyypille. Alla olevat kuvaukset ilmaisevat keinon tai toisen.

SentinelAudit-taulukon sarakkeiden rakenne

Seuraavassa taulukossa kuvataan SentinelAudit-tietotaulukossa luodut sarakkeet ja tiedot:

Sarakkeen nimi ColumnType Kuvaus
Vuokraajan tunnus Merkkijono Microsoft Sentinel työtilasi vuokraajatunnus.
TimeGenerated Datetime Aika (UTC), jolloin valvottu toiminto tapahtui.
Toiminnon nimi Merkkijono Tallennetun Azure toiminto. Esimerkki:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Merkkijono Sen Microsoft Sentinel ja siihen liittyvän resurssin yksilöllinen tunnus, jossa valvottu toiminto tapahtui.
SentinelResourceName Merkkijono Resurssin nimi. Analytiikkasäännöissä tämä on säännön nimi.
Tila Merkkijono Ilmaisee SuccessOperationName-nimen tai Failure sen.
Kuvaus Merkkijono Kuvailee toiminnon, mukaan lukien laajennetut tiedot tarvittaessa. Esimerkiksi virheiden kohdalla tämä sarake voi ilmaista virheen syyn.
WorkspaceId Merkkijono Työtilan GUID-tunnus, jossa valvottu toiminto tapahtui. Koko Azure resurssitunnus on käytettävissä SentinelResourceID-sarakkeessa.
SentinelResourceType Merkkijono Seurattava Microsoft Sentinel resurssityyppi.
SentinelResourceKind Merkkijono Tarkkailtavan resurssin tyyppi. Esimerkiksi analytiikkasäännöt: NRT.
Korrelaatiotunnus Merkkijono Tapahtuman korrelaatiotunnus GUID-muodossa.
ExtendedProperties Dynaaminen (json) JSON-säilö, joka vaihtelee OperationName-arvon ja tapahtuman tilan mukaan.
Lisätietoja on kohdassa Laajennetut ominaisuudet .
Tyyppi Merkkijono SentinelAudit

Eri resurssityyppien toimintojen nimet

Resurssityypit Toimintojen nimet Tilat
Analysointisäännöt - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete		 Menestys
Epäonnistuminen

Laajennetut ominaisuudet

Analysointisäännöt

Analytiikkasääntöjen laajennetut ominaisuudet vastaavat tiettyjä sääntöasetuksia.

Sarakkeen nimi ColumnType Kuvaus
Soittajanipaddress Merkkijono IP-osoite, josta toiminto aloitettiin.
Soittajan nimi Merkkijono Käyttäjä tai sovellus, joka aloitti toiminnon.
Alkuperäinen resurssin tila Dynaaminen (json) JSON-säilö, joka kuvaa sääntöä ennen muutosta.
Syy Merkkijono Syy, miksi toiminto epäonnistui. Esimerkki: No permissions.
ResourceDiffMemberNames Matriisi[Merkkijono] Tämä on valvotun toiminnon muuttaman säännön ominaisuuksien matriisi. Esimerkki: ['custom_details','look_back'].
Resurssin nimi Merkkijono Sen analytiikkasäännön nimi, jossa valvottu toiminto tapahtui.
Resurssiryhmän nimi Merkkijono Sen työtilan resurssiryhmä, jossa valvottu toiminto tapahtui.
Resurssitunnus Merkkijono Sen analytiikkasäännön resurssitunnus, jossa valvottu toiminto tapahtui.
SubscriptionId Merkkijono Sen työtilan tilaustunnus, jossa valvottu toiminto tapahtui.
UpdatedResourceState Dynaaminen (json) JSON-säilö, joka kuvaa sääntöä muutoksen jälkeen.
Uri Merkkijono Analytiikkasäännön koko polun resurssitunnus.
WorkspaceId Merkkijono Sen työtilan resurssitunnus, jossa valvottu toiminto tapahtui.
Työtilan nimi Merkkijono Sen työtilan nimi, jossa valvottu toiminto tapahtui.

Seuraavat vaiheet

  • Last updated on