Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i campi nelle tabelle SentinelAudit, usati per il controllo dell'attività utente nelle risorse Microsoft Sentinel. Con la funzionalità di controllo Microsoft Sentinel, è possibile tenere sotto controllo le azioni eseguite nel SIEM e ottenere informazioni sulle modifiche apportate all'ambiente e agli utenti che hanno apportato tali modifiche.
Informazioni su come eseguire query e usare la tabella di controllo per un monitoraggio e una visibilità più approfonditi delle azioni nell'ambiente.
Microsoft Sentinel funzionalità di controllo attualmente copre solo il tipo di risorsa regola di analisi, anche se altri tipi possono essere aggiunti in un secondo momento. Molti dei campi dati nelle tabelle seguenti verranno applicati tra i tipi di risorse, ma alcuni hanno applicazioni specifiche per ogni tipo. Le descrizioni seguenti indicheranno un modo o l'altro.
Schema delle colonne della tabella SentinelAudit
La tabella seguente descrive le colonne e i dati generati nella tabella dati SentinelAudit:
| Columnname | Columntype | Descrizione |
|---|---|---|
| TenantId | Stringa | ID tenant per l'area di lavoro Microsoft Sentinel. |
| TimeGenerated | Datetime | Ora (UTC) in cui si è verificata l'attività verificata. |
| Nomeoperazione | Stringa | Operazione Azure registrata. Ad esempio: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Stringa | Identificatore univoco dell'area di lavoro Microsoft Sentinel e della risorsa associata in cui si è verificata l'attività verificata. |
| SentinelResourceName | Stringa | Nome della risorsa. Per le regole di analisi, questo è il nome della regola. |
| Stato | Stringa | Indica Success o Failure per OperationName. |
| Descrizione | Stringa | Descrive l'operazione, inclusi i dati estesi in base alle esigenze. Ad esempio, per gli errori, questa colonna potrebbe indicare il motivo dell'errore. |
| WorkspaceId | Stringa | GUID dell'area di lavoro in cui si è verificata l'attività verificata. L'identificatore di risorsa Azure completo è disponibile nella colonna SentinelResourceID. |
| SentinelResourceType | Stringa | Tipo di risorsa Microsoft Sentinel monitorato. |
| SentinelResourceKind | Stringa | Tipo specifico di risorsa monitorata. Ad esempio, per le regole di analisi: NRT. |
| Correlationid | Stringa | ID di correlazione dell'evento in formato GUID. |
| ExtendedProperties | Dinamico (json) | Un contenitore JSON che varia in base al valore OperationName e allo stato dell'evento. Per informazioni dettagliate, vedere Proprietà estese . |
| Tipo | Stringa | SentinelAudit |
Nomi delle operazioni per tipi di risorse diversi
| Tipi di risorse | Nomi delle operazioni | Stati |
|---|---|---|
| Regole di analisi | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Esito positivo Fallimento |
Proprietà estese
Regole di analisi
Le proprietà estese per le regole di analisi riflettono determinate impostazioni delle regole.
| Columnname | Columntype | Descrizione |
|---|---|---|
| CallerIpAddress | Stringa | Indirizzo IP da cui è stata avviata l'azione. |
| Nome chiamante | Stringa | L'utente o l'applicazione che ha avviato l'azione. |
| OriginalResourceState | Dinamico (json) | Contenitore JSON che descrive la regola prima della modifica. |
| Motivo | Stringa | Motivo per cui l'operazione non è riuscita. Ad esempio: No permissions. |
| ResourceDiffMemberNames | Array[String] | Matrice delle proprietà della regola modificate dall'attività verificata. Ad esempio: ['custom_details','look_back']. |
| ResourceDisplayName | Stringa | Nome della regola di analisi in cui si è verificata l'attività verificata. |
| ResourceGroupName | Stringa | Gruppo di risorse dell'area di lavoro in cui si è verificata l'attività verificata. |
| Resourceid | Stringa | ID risorsa della regola di analisi in cui si è verificata l'attività verificata. |
| Subscriptionid | Stringa | ID sottoscrizione dell'area di lavoro in cui si è verificata l'attività verificata. |
| UpdatedResourceState | Dinamico (json) | Un contenitore JSON che descrive la regola dopo la modifica. |
| Uri | Stringa | ID risorsa percorso completo della regola di analisi. |
| WorkspaceId | Stringa | ID risorsa dell'area di lavoro in cui si è verificata l'attività verificata. |
| WorkspaceName | Stringa | Nome dell'area di lavoro in cui si è verificata l'attività verificata. |
Passaggi successivi
- Informazioni sul controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Monitorare l'integrità delle regole di automazione e dei playbook.
- Monitorare l'integrità dei connettori dati.
- Monitorare l'integrità e l'integrità delle regole di analisi.
- Informazioni di riferimento sulle tabelle SentinelHealth