Megosztás a következőn keresztül:


Microsoft Sentinel audittáblák referenciája

Ez a cikk a SentinelAudit táblák azon mezőit ismerteti, amelyek a Microsoft Sentinel-erőforrások felhasználói tevékenységének naplózására szolgálnak. A Microsoft Sentinel naplózási funkciójával nyomon követheti a SIEM-ben végrehajtott műveleteket, és információkat kaphat a környezetében végrehajtott módosításokról és a módosításokat végző felhasználókról.

Megtudhatja, hogyan kérdezheti le és használhatja a naplózási táblát a környezet műveleteinek mélyebb monitorozásához és láthatóságához.

Fontos

A SentinelAudit adattábla jelenleg előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel naplózási funkciója jelenleg csak az elemzési szabály erőforrástípusára vonatkozik, bár később más típusok is hozzáadhatók. Az alábbi táblázatokban szereplő adatmezők közül sok az erőforrástípusokra vonatkozik, de vannak, amelyek mindegyik típushoz rendelkeznek alkalmazásokkal. Az alábbi leírások az egyik vagy a másik utat jelölik.

SentinelAudit táblaoszlopok sémája

Az alábbi táblázat a SentinelAudit adattáblában létrehozott oszlopokat és adatokat ismerteti:

ColumnName ColumnType Description
Bérlőazonosító Sztring A Microsoft Sentinel-munkaterület bérlőazonosítója.
TimeGenerated Datetime Az az időpont (UTC), amikor a naplózott tevékenység történt.
OperationName Sztring Az Azure-művelet rögzítése folyamatban van. Például:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId Sztring A Microsoft Sentinel-munkaterület egyedi azonosítója és a kapcsolódó erőforrás, amelyen a naplózott tevékenység történt.
SentinelResourceName Sztring Az erőforrás neve. Az elemzési szabályok esetében ez a szabály neve.
Állapot Sztring Success Failure Vagy az OperationName értéket jelöli.
Leírás Sztring Ismerteti a műveletet, beleértve a szükség szerint bővített adatokat is. Hibák esetén például ez az oszlop jelezheti a hiba okát.
Munkaterület azonosítója Sztring A munkaterület GUID azonosítója, amelyen a naplózott tevékenység történt. A teljes Azure-erőforrás-azonosító elérhető a SentinelResourceID oszlopban.
SentinelResourceType Sztring A figyelt Microsoft Sentinel erőforrástípus.
SentinelResourceKind Sztring A figyelt erőforrás adott típusa. Elemzési szabályok esetén például: NRT.
Korrelációs azonosító Sztring Az esemény korrelációs azonosítója GUID formátumban.
ExtendedProperties Dinamikus (json) Egy JSON-táska, amely az OperationName értéktől és az esemény állapotától függően változik.
További részletekért lásd: Bővített tulajdonságok .
Típus Sztring SentinelAudit

Műveletnevek különböző erőforrástípusokhoz

Erőforrástípusok Műveletnevek Állapotok
Elemzési szabályok - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Siker
Hiba

Bővített tulajdonságok

Elemzési szabályok

Az elemzési szabályok kiterjesztett tulajdonságai bizonyos szabálybeállításokat tükröznek.

ColumnName ColumnType Description
CallerIpAddress Sztring Az IP-cím, amelyről a műveletet kezdeményezték.
Hívónév Sztring A műveletet kezdeményező felhasználó vagy alkalmazás.
OriginalResourceState Dinamikus (json) Egy JSON-táska, amely a módosítás előtti szabályt írja le.
Ok Sztring A művelet sikertelen volt. Példa: No permissions.
ResourceDiffMemberNames Tömb[Sztring] A szabály azon tulajdonságainak tömbje, amelyeket a naplózott tevékenység módosított. Példa: ['custom_details','look_back'].
ResourceDisplayName Sztring Annak az elemzési szabálynak a neve, amelyen a naplózott tevékenység történt.
ResourceGroupName Sztring Annak a munkaterületnek az erőforráscsoportja, amelyen a naplózott tevékenység történt.
ResourceId Sztring Annak az elemzési szabálynak az erőforrás-azonosítója, amelyen a naplózott tevékenység történt.
SubscriptionId Sztring Annak a munkaterületnek az előfizetés-azonosítója, amelyen a naplózott tevékenység történt.
FrissítveResourceState Dinamikus (json) Egy JSON-táska, amely leírja a szabályt a módosítás után.
Uri Sztring Az elemzési szabály teljes útvonalú erőforrás-azonosítója.
Munkaterület azonosítója Sztring Annak a munkaterületnek az erőforrás-azonosítója, amelyen a naplózott tevékenység történt.
WorkspaceName Sztring Annak a munkaterületnek a neve, amelyen a naplózott tevékenység történt.

Következő lépések