Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs fälten i SentinelAudit-tabellerna, som används för granskning av användaraktivitet i Microsoft Sentinel resurser. Med Microsoft Sentinel granskningsfunktion kan du hålla koll på de åtgärder som vidtas i SIEM och få information om eventuella ändringar som gjorts i din miljö och de användare som har gjort dessa ändringar.
Lär dig hur du frågar efter och använder granskningstabellen för djupare övervakning och synlighet för åtgärder i din miljö.
Microsoft Sentinel granskningsfunktion omfattar för närvarande endast resurstypen analysregel, även om andra typer kan läggas till senare. Många av datafälten i följande tabeller gäller för olika resurstyper, men vissa har specifika program för varje typ. Beskrivningarna nedan visar det ena eller det andra sättet.
Schema för SentinelAudit-tabellkolumner
I följande tabell beskrivs de kolumner och data som genereras i datatabellen SentinelAudit:
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| TenantId | Sträng | Klientorganisations-ID:t för din Microsoft Sentinel arbetsyta. |
| TimeGenerated | Datetime | Den tid (UTC) då den granskade aktiviteten inträffade. |
| OperationName | Sträng | Den Azure åtgärden registreras. Till exempel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Sträng | Den unika identifieraren för den Microsoft Sentinel arbetsytan och den associerade resurs som den granskade aktiviteten inträffade på. |
| SentinelResourceName | Sträng | Resursnamnet. För analysregler är detta regelnamnet. |
| Status | Sträng | Anger Success eller Failure för OperationName. |
| Beskrivning | Sträng | Beskriver åtgärden, inklusive utökade data efter behov. Vid till exempel fel kan den här kolumnen ange orsaken till felet. |
| WorkspaceId | Sträng | Arbetsytans GUID som den granskade aktiviteten inträffade på. Den fullständiga Azure resursidentifieraren är tillgänglig i kolumnen SentinelResourceID. |
| SentinelResourceType | Sträng | Den Microsoft Sentinel resurstyp som övervakas. |
| SentinelResourceKind | Sträng | Den specifika resurstyp som övervakas. Till exempel för analysregler: NRT. |
| CorrelationId | Sträng | Händelsekorrelations-ID i GUID-format. |
| ExtendedProperties | Dynamisk (json) | En JSON-påse som varierar beroende på OperationName-värdet och händelsens status . Mer information finns i Utökade egenskaper . |
| Typ | Sträng | SentinelAudit |
Åtgärdsnamn för olika resurstyper
| Resurstyper | Åtgärdsnamn | Status |
|---|---|---|
| Analysregler | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Klart Misslyckande |
Utökade egenskaper
Analysregler
Utökade egenskaper för analysregler återspeglar vissa regelinställningar.
| Columnname | ColumnType | Beskrivning |
|---|---|---|
| CallerIpAddress | Sträng | IP-adressen som åtgärden initierades från. |
| CallerName | Sträng | Användaren eller programmet som initierade åtgärden. |
| OriginalResourceState | Dynamisk (json) | En JSON-påse som beskriver regeln före ändringen. |
| Orsak | Sträng | Anledningen till att åtgärden misslyckades. Till exempel: No permissions. |
| ResourceDiffMemberNames | Array[String] | En matris med egenskaperna för regeln som ändrades av den granskade aktiviteten. Till exempel: ['custom_details','look_back']. |
| ResourceDisplayName | Sträng | Namnet på analysregeln som den granskade aktiviteten inträffade på. |
| ResourceGroupName | Sträng | Resursgrupp för arbetsytan där den granskade aktiviteten inträffade. |
| ResourceId | Sträng | Resurs-ID:t för analysregeln där den granskade aktiviteten inträffade. |
| SubscriptionId | Sträng | Prenumerations-ID för arbetsytan där den granskade aktiviteten inträffade. |
| UpdatedResourceState | Dynamisk (json) | En JSON-påse som beskriver regeln efter ändringen. |
| Uri | Sträng | Resurs-ID för fullständig sökväg för analysregeln. |
| WorkspaceId | Sträng | Resurs-ID för arbetsytan där den granskade aktiviteten inträffade. |
| WorkspaceName | Sträng | Namnet på arbetsytan där den granskade aktiviteten inträffade. |
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
- Övervaka hälsotillståndet för dina dataanslutningar.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Referens för SentinelHealth-tabeller