Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver feltene i SentinelAudit-tabellene, som brukes til overvåking av brukeraktivitet i Microsoft Sentinel ressurser. Med Microsoft Sentinel overvåkingsfunksjonen kan du holde oversikt over handlingene som utføres i SIEM og få informasjon om eventuelle endringer i miljøet og brukerne som har gjort disse endringene.
Finn ut hvordan du spør og bruker overvåkingstabellen for dypere overvåking og synlighet av handlinger i miljøet ditt.
Microsoft Sentinel revisjonsfunksjon dekker for øyeblikket bare ressurstypen for analyseregel, selv om andre typer kan legges til senere. Mange av datafeltene i tabellene nedenfor vil gjelde på tvers av ressurstyper, men noen har bestemte programmer for hver type. Beskrivelsene nedenfor angir den ene eller den andre måten.
Skjema for SentinelAudit-tabellkolonner
Tabellen nedenfor beskriver kolonnene og dataene som genereres i SentinelAudit-datatabellen:
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| TenantId | Streng | Leier-ID-en for Microsoft Sentinel-arbeidsområdet. |
| TimeGenerated | Datetime | Klokkeslettet (UTC) der den overvåkede aktiviteten oppstod. |
| OperationName | Streng | Den Azure operasjonen som registreres. Eksempel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Streng | Den unike identifikatoren for det Microsoft Sentinel arbeidsområdet og den tilknyttede ressursen der den overvåkede aktiviteten oppstod. |
| SentinelResourceName | Streng | Ressursnavnet. For analyseregler er dette regelnavnet. |
| Status | Streng |
Success Angir eller Failure for OperationName. |
| Beskrivelse | Streng | Beskriver operasjonen, inkludert utvidede data etter behov. For feil kan for eksempel denne kolonnen indikere feilårsaken. |
| WorkspaceId | Streng | GUID-en for arbeidsområdet der den overvåkede aktiviteten oppstod. Den fullstendige Azure ressursidentifikatoren er tilgjengelig i SentinelResourceID-kolonnen. |
| SentinelResourceType | Streng | Ressurstypen Microsoft Sentinel som overvåkes. |
| SentinelResourceKind | Streng | Den bestemte ressurstypen som overvåkes. For analyseregler: for eksempel: NRT. |
| CorrelationId | Streng | Korrelasjons-ID-en for hendelsen i GUID-format. |
| ExtendedProperties | Dynamisk (json) | En JSON-pose som varierer etter OperationName-verdien og statusen for hendelsen. Se utvidede egenskaper for mer informasjon. |
| Type | Streng | SentinelAudit |
Operasjonsnavn for ulike ressurstyper
| Ressurstyper | Operasjonsnavn | Statuser |
|---|---|---|
| Analyseregler | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Suksess Feil |
Utvidede egenskaper
Analyseregler
Utvidede egenskaper for analyseregler gjenspeiler bestemte regelinnstillinger.
| ColumnName | ColumnType | Beskrivelse |
|---|---|---|
| CallerIpAddress | Streng | IP-adressen som handlingen ble startet fra. |
| CallerName | Streng | Brukeren eller programmet som startet handlingen. |
| OriginalResourceState | Dynamisk (json) | En JSON-pose som beskriver regelen før endringen. |
| Grunn | Streng | Årsaken til at operasjonen mislyktes. Eksempel: No permissions. |
| ResourceDiffMemberNames | Matrise[streng] | En matrise med egenskapene for regelen som ble endret av den overvåkede aktiviteten. Eksempel: ['custom_details','look_back']. |
| ResourceDisplayName | Streng | Navnet på analyseregelen der den overvåkede aktiviteten oppstod. |
| ResourceGroupName | Streng | Ressursgruppe for arbeidsområdet der den overvåkede aktiviteten oppstod. |
| ResourceId | Streng | Ressurs-ID-en for analyseregelen der den overvåkede aktiviteten oppstod. |
| SubscriptionId | Streng | Abonnements-ID-en for arbeidsområdet der den overvåkede aktiviteten oppstod. |
| UpdatedResourceState | Dynamisk (json) | En JSON-pose som beskriver regelen etter endringen. |
| Uri | Streng | Ressurs-ID-en for den fullstendige banen for analyseregelen. |
| WorkspaceId | Streng | Ressurs-ID-en for arbeidsområdet der den overvåkede aktiviteten oppstod. |
| WorkspaceName | Streng | Navnet på arbeidsområdet der den overvåkede aktiviteten oppstod. |
Neste trinn
- Finn ut mer om overvåking og tilstandsovervåking i Microsoft Sentinel.
- Slå på overvåking og tilstandsovervåking i Microsoft Sentinel.
- Overvåk tilstanden til automatiseringsreglene og strategiplanene.
- Overvåk tilstanden til datakoblingene.
- Overvåk tilstanden og integriteten til analysereglene.
- Referanse for SentinelHealth-tabeller