Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de velden in de SentinelAudit-tabellen beschreven, die worden gebruikt voor het controleren van gebruikersactiviteit in Microsoft Sentinel resources. Met de Microsoft Sentinel controlefunctie kunt u de acties in uw SIEM in de gaten houden en informatie krijgen over eventuele wijzigingen in uw omgeving en de gebruikers die deze wijzigingen hebben aangebracht.
Meer informatie over het uitvoeren van query's en het gebruik van de audittabel voor een diepere bewaking en zichtbaarheid van acties in uw omgeving.
de controlefunctie van Microsoft Sentinel heeft momenteel alleen betrekking op het resourcetype van de analyseregel, maar er kunnen later mogelijk andere typen worden toegevoegd. Veel van de gegevensvelden in de volgende tabellen zijn van toepassing op resourcetypen, maar sommige hebben specifieke toepassingen voor elk type. De onderstaande beschrijvingen geven op de een of andere manier aan.
Tabelkolommenschema SentinelAudit
In de volgende tabel worden de kolommen en gegevens beschreven die worden gegenereerd in de gegevenstabel SentinelAudit:
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| TenantId | Tekenreeks | De tenant-id voor uw Microsoft Sentinel werkruimte. |
| TimeGenerated | Datetime | Het tijdstip (UTC) waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| OperationName | Tekenreeks | De Azure bewerking die wordt vastgelegd. Bijvoorbeeld: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Tekenreeks | De unieke id van de Microsoft Sentinel werkruimte en de bijbehorende resource waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| SentinelResourceName | Tekenreeks | De resourcenaam. Voor analyseregels is dit de naam van de regel. |
| Status | Tekenreeks | Geeft Success of Failure aan voor de OperationName. |
| Beschrijving | Tekenreeks | Beschrijft de bewerking, inclusief uitgebreide gegevens, indien nodig. Voor fouten kan deze kolom bijvoorbeeld de reden van de fout aangeven. |
| WorkspaceId | Tekenreeks | De werkruimte-GUID waarop de gecontroleerde activiteit heeft plaatsgevonden. De volledige Azure Resource-id is beschikbaar in de kolom SentinelResourceID. |
| SentinelResourceType | Tekenreeks | Het Microsoft Sentinel resourcetype dat wordt bewaakt. |
| SentinelResourceKind | Tekenreeks | Het specifieke type resource dat wordt bewaakt. Bijvoorbeeld voor analyseregels: NRT. |
| CorrelationId | Tekenreeks | De gebeurteniscorrelatie-id in GUID-indeling. |
| ExtendedProperties | Dynamisch (json) | Een JSON-zak die varieert op basis van de waarde van OperationName en de status van de gebeurtenis. Zie Uitgebreide eigenschappen voor meer informatie. |
| Type | Tekenreeks | SentinelAudit |
Bewerkingsnamen voor verschillende resourcetypen
| Resourcetypen | Bewerkingsnamen | Statussen |
|---|---|---|
| Analyseregels | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Geslaagd Mislukking |
Uitgebreide eigenschappen
Analyseregels
Uitgebreide eigenschappen voor analyseregels weerspiegelen bepaalde regelinstellingen.
| Kolomnaam | ColumnType | Beschrijving |
|---|---|---|
| CallerIpAddress | Tekenreeks | Het IP-adres van waaruit de actie is gestart. |
| CallerName | Tekenreeks | De gebruiker of toepassing die de actie heeft geïnitieerd. |
| OriginalResourceState | Dynamisch (json) | Een JSON-zak waarin de regel vóór de wijziging wordt beschreven. |
| Reden | Tekenreeks | De reden waarom de bewerking is mislukt. Bijvoorbeeld: No permissions. |
| ResourceDiffMemberNames | Matrix[Tekenreeks] | Een matrix van de eigenschappen van de regel die zijn gewijzigd door de gecontroleerde activiteit. Bijvoorbeeld: ['custom_details','look_back']. |
| ResourceDisplayName | Tekenreeks | Naam van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| ResourceGroupName | Tekenreeks | Resourcegroep van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| Resourceid | Tekenreeks | De resource-id van de analyseregel waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| SubscriptionId | Tekenreeks | De abonnements-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| UpdatedResourceState | Dynamisch (json) | Een JSON-zak waarin de regel na de wijziging wordt beschreven. |
| Uri | Tekenreeks | De resource-id van het volledige pad van de analyseregel. |
| WorkspaceId | Tekenreeks | De resource-id van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
| WorkspaceName | Tekenreeks | De naam van de werkruimte waarop de gecontroleerde activiteit heeft plaatsgevonden. |
Volgende stappen
- Meer informatie over controle en statusbewaking in Microsoft Sentinel.
- Schakel controle en statusbewaking in Microsoft Sentinel in.
- Controleer de status van uw automatiseringsregels en playbooks.
- Controleer de status van uw gegevensconnectors.
- Controleer de status en integriteit van uw analyseregels.
- Verwijzing naar SentinelHealth-tabellen