Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os campos nas tabelas SentinelAudit, que são utilizados para auditar a atividade do utilizador em recursos Microsoft Sentinel. Com a funcionalidade de auditoria Microsoft Sentinel, pode controlar as ações realizadas no SIEM e obter informações sobre as alterações efetuadas ao seu ambiente e aos utilizadores que efetuou essas alterações.
Saiba como consultar e utilizar a tabela de auditoria para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente.
Atualmente, a funcionalidade de auditoria do Microsoft Sentinel abrange apenas o tipo de recurso da regra de análise, embora outros tipos possam ser adicionados mais tarde. Muitos dos campos de dados nas tabelas seguintes serão aplicados entre tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
SentinelAudit table columns schema (Esquema de colunas da tabela SentinelAudit)
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | Cadeia de caracteres | O ID do inquilino da área de trabalho Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu a atividade auditada. |
| OperationName | Cadeia de caracteres | A operação Azure a ser registada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Cadeia de caracteres | O identificador exclusivo da área de trabalho Microsoft Sentinel e o recurso associado no qual ocorreu a atividade auditada. |
| SentinelResourceName | Cadeia de caracteres | O nome do recurso. Para regras de análise, este é o nome da regra. |
| Estado | Cadeia de caracteres |
Success Indica ou Failure para o OperationName. |
| Descrição | Cadeia de caracteres | Descreve a operação, incluindo os dados expandidos conforme necessário. Por exemplo, para falhas, esta coluna pode indicar o motivo da falha. |
| WorkspaceId | Cadeia de caracteres | O GUID da área de trabalho no qual ocorreu a atividade auditada. O Identificador de Recursos Azure completo está disponível na coluna SentinelResourceID. |
| SentinelResourceType | Cadeia de caracteres | O tipo de recurso Microsoft Sentinel a ser monitorizado. |
| SentinelResourceKind | Cadeia de caracteres | O tipo específico de recurso a ser monitorizado. Por exemplo, para regras de análise: NRT. |
| CorrelationId | Cadeia de caracteres | O ID de correlação de eventos no formato GUID. |
| ExtendedProperties | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | Cadeia de caracteres | SentinelAudit |
Nomes de operações para diferentes tipos de recursos
| Tipos de recursos | Nomes das operações | Estados |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Êxito Falha |
Propriedades estendidas
Regras de análise
As propriedades expandidas das regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| CallerIpAddress | Cadeia de caracteres | O endereço IP a partir do qual a ação foi iniciada. |
| CallerName | Cadeia de caracteres | O utilizador ou aplicação que iniciou a ação. |
| OriginalResourceState | Dinâmico (json) | Um saco JSON que descreve a regra antes da alteração. |
| Motivo | Cadeia de caracteres | O motivo pelo qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[Cadeia] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | Cadeia de caracteres | Nome da regra de análise na qual ocorreu a atividade auditada. |
| ResourceGroupName | Cadeia de caracteres | Grupo de recursos da área de trabalho na qual ocorreu a atividade auditada. |
| ResourceId | Cadeia de caracteres | O ID do recurso da regra de análise em que ocorreu a atividade auditada. |
| SubscriptionId | Cadeia de caracteres | O ID da subscrição da área de trabalho na qual ocorreu a atividade auditada. |
| UpdatedResourceState | Dinâmico (json) | Um saco JSON que descreve a regra após a alteração. |
| Uri | Cadeia de caracteres | O ID de recurso de caminho completo da regra de análise. |
| WorkspaceId | Cadeia de caracteres | O ID do recurso da área de trabalho na qual ocorreu a atividade auditada. |
| WorkspaceName | Cadeia de caracteres | O nome da área de trabalho na qual ocorreu a atividade auditada. |
Próximas etapas
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
- Monitorizar o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e a integridade das regras de análise.
- Referência de tabelas SentinelHealth