Microsoft Sentinel audittáblák referenciája
Ez a cikk a SentinelAudit táblák azon mezőit ismerteti, amelyek a Microsoft Sentinel-erőforrások felhasználói tevékenységének naplózására szolgálnak. A Microsoft Sentinel naplózási funkciójával nyomon követheti a SIEM-ben végrehajtott műveleteket, és információkat kaphat a környezetében végrehajtott módosításokról és a módosításokat végző felhasználókról.
Megtudhatja, hogyan kérdezheti le és használhatja a naplózási táblát a környezet műveleteinek mélyebb monitorozásához és láthatóságához.
Fontos
A SentinelAudit adattábla jelenleg előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel naplózási funkciója jelenleg csak az elemzési szabály erőforrástípusára vonatkozik, bár később más típusok is hozzáadhatók. Az alábbi táblázatokban szereplő adatmezők közül sok az erőforrástípusokra vonatkozik, de vannak, amelyek mindegyik típushoz rendelkeznek alkalmazásokkal. Az alábbi leírások az egyik vagy a másik utat jelölik.
SentinelAudit táblaoszlopok sémája
Az alábbi táblázat a SentinelAudit adattáblában létrehozott oszlopokat és adatokat ismerteti:
ColumnName | ColumnType | Description |
---|---|---|
Bérlőazonosító | Sztring | A Microsoft Sentinel-munkaterület bérlőazonosítója. |
TimeGenerated | Datetime | Az az időpont (UTC), amikor a naplózott tevékenység történt. |
OperationName | Sztring | Az Azure-művelet rögzítése folyamatban van. Például: - Microsoft.SecurityInsights/alertRules/Write - Microsoft.SecurityInsights/alertRules/Delete |
SentinelResourceId | Sztring | A Microsoft Sentinel-munkaterület egyedi azonosítója és a kapcsolódó erőforrás, amelyen a naplózott tevékenység történt. |
SentinelResourceName | Sztring | Az erőforrás neve. Az elemzési szabályok esetében ez a szabály neve. |
Állapot | Sztring |
Success
Failure Vagy az OperationName értéket jelöli. |
Leírás | Sztring | Ismerteti a műveletet, beleértve a szükség szerint bővített adatokat is. Hibák esetén például ez az oszlop jelezheti a hiba okát. |
Munkaterület azonosítója | Sztring | A munkaterület GUID azonosítója, amelyen a naplózott tevékenység történt. A teljes Azure-erőforrás-azonosító elérhető a SentinelResourceID oszlopban. |
SentinelResourceType | Sztring | A figyelt Microsoft Sentinel erőforrástípus. |
SentinelResourceKind | Sztring | A figyelt erőforrás adott típusa. Elemzési szabályok esetén például: NRT . |
Korrelációs azonosító | Sztring | Az esemény korrelációs azonosítója GUID formátumban. |
ExtendedProperties | Dinamikus (json) | Egy JSON-táska, amely az OperationName értéktől és az esemény állapotától függően változik. További részletekért lásd: Bővített tulajdonságok . |
Típus | Sztring | SentinelAudit |
Műveletnevek különböző erőforrástípusokhoz
Erőforrástípusok | Műveletnevek | Állapotok |
---|---|---|
Elemzési szabályok | - Microsoft.SecurityInsights/alertRules/Write - Microsoft.SecurityInsights/alertRules/Delete |
Siker Hiba |
Bővített tulajdonságok
Elemzési szabályok
Az elemzési szabályok kiterjesztett tulajdonságai bizonyos szabálybeállításokat tükröznek.
ColumnName | ColumnType | Description |
---|---|---|
CallerIpAddress | Sztring | Az IP-cím, amelyről a műveletet kezdeményezték. |
Hívónév | Sztring | A műveletet kezdeményező felhasználó vagy alkalmazás. |
OriginalResourceState | Dinamikus (json) | Egy JSON-táska, amely a módosítás előtti szabályt írja le. |
Ok | Sztring | A művelet sikertelen volt. Példa: No permissions . |
ResourceDiffMemberNames | Tömb[Sztring] | A szabály azon tulajdonságainak tömbje, amelyeket a naplózott tevékenység módosított. Példa: ['custom_details','look_back'] . |
ResourceDisplayName | Sztring | Annak az elemzési szabálynak a neve, amelyen a naplózott tevékenység történt. |
ResourceGroupName | Sztring | Annak a munkaterületnek az erőforráscsoportja, amelyen a naplózott tevékenység történt. |
ResourceId | Sztring | Annak az elemzési szabálynak az erőforrás-azonosítója, amelyen a naplózott tevékenység történt. |
SubscriptionId | Sztring | Annak a munkaterületnek az előfizetés-azonosítója, amelyen a naplózott tevékenység történt. |
FrissítveResourceState | Dinamikus (json) | Egy JSON-táska, amely leírja a szabályt a módosítás után. |
Uri | Sztring | Az elemzési szabály teljes útvonalú erőforrás-azonosítója. |
Munkaterület azonosítója | Sztring | Annak a munkaterületnek az erőforrás-azonosítója, amelyen a naplózott tevékenység történt. |
WorkspaceName | Sztring | Annak a munkaterületnek a neve, amelyen a naplózott tevékenység történt. |
Következő lépések
- További információ a Microsoft Sentinel naplózásáról és állapotfigyeléséről.
- Kapcsolja be a naplózást és az állapotfigyelést a Microsoft Sentinelben.
- Az automatizálási szabályok és forgatókönyvek állapotának monitorozása.
- Monitorozza az adatösszekötők állapotát.
- Az elemzési szabályok állapotának és integritásának monitorozása.
- SentinelHealth táblák referenciája