Referensi tabel audit Microsoft Azure Sentinel
Artikel ini menjelaskan bidang dalam tabel SentinelAudit, yang digunakan untuk mengaudit aktivitas pengguna di sumber daya Microsoft Azure Sentinel. Dengan fitur audit Microsoft Azure Sentinel, Anda dapat menyimpan tab pada tindakan yang diambil di SIEM Anda dan mendapatkan informasi tentang perubahan apa pun yang dilakukan pada lingkungan Anda dan pengguna yang membuat perubahan tersebut.
Pelajari cara mengkueri dan menggunakan tabel audit untuk pemantauan dan visibilitas tindakan yang lebih mendalam di lingkungan Anda.
Penting
Tabel data SentinelAudit saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Fitur audit Microsoft Azure Sentinel saat ini hanya mencakup jenis sumber daya aturan analitik, meskipun jenis lain dapat ditambahkan nanti. Banyak bidang data dalam tabel berikut akan berlaku di seluruh jenis sumber daya, tetapi beberapa memiliki aplikasi tertentu untuk setiap jenis. Deskripsi di bawah ini akan menunjukkan salah satu cara atau yang lain.
Skema kolom tabel SentinelAudit
Tabel berikut ini menjelaskan kolom dan data yang dihasilkan dalam tabel data SentinelAudit:
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| TenantId | String | ID penyewa untuk ruang kerja Microsoft Sentinel Anda. |
| TimeGenerated | Tanggalwaktu | Waktu (UTC) di mana aktivitas yang diaudit terjadi. |
| OperationName | String | Operasi Azure sedang direkam. Contohnya: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Pengidentifikasi unik ruang kerja Microsoft Azure Sentinel dan sumber daya terkait tempat aktivitas yang diaudit terjadi. |
| SentinelResourceName | String | Nama sumber daya. Untuk aturan analitik, ini adalah nama aturan. |
| Kondisi | String |
Success Menunjukkan atau Failure untuk OperationName. |
| Deskripsi | String | Menjelaskan operasi, termasuk data yang diperluas sesuai kebutuhan. Sebagai contoh, untuk kegagalan, kolom ini mungkin menunjukkan alasan kegagalan. |
| WorkspaceId | String | GUID ruang kerja tempat aktivitas yang diaudit terjadi. Pengidentifikasi Sumber Daya Azure lengkap tersedia di kolom SentinelResourceID. |
| SentinelResourceType | String | Jenis sumber daya Microsoft Azure Sentinel sedang dipantau. |
| SentinelResourceKind | String | Jenis sumber daya tertentu yang dipantau. Misalnya, untuk aturan analitik: NRT. |
| CorrelationId | String | ID korelasi peristiwa dalam format GUID. |
| ExtendedProperties | Dinamis (json) | Tas JSON yang bervariasi menurut nilai OperationName dan Status peristiwa. Lihat Properti yang diperluas untuk detailnya. |
| Jenis | String | SentinelAudit |
Nama operasi untuk jenis sumber daya yang berbeda
| Jenis sumber daya | Nama operasi | Status |
|---|---|---|
| Aturan analitik | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Berhasil Kegagalan |
Properti yang diperluas
Aturan analitik
Properti yang diperluas untuk aturan analitik mencerminkan pengaturan aturan tertentu.
| ColumnName | ColumnType | Deskripsi |
|---|---|---|
| CallerIpAddress | String | Alamat IP tempat tindakan dimulai. |
| CallerName | String | Pengguna atau aplikasi yang memulai tindakan. |
| OriginalResourceState | Dinamis (json) | Tas JSON yang menjelaskan aturan sebelum perubahan. |
| Alasan | String | Alasan mengapa operasi gagal. Misalnya: No permissions. |
| ResourceDiffMemberNames | Array[String] | Array properti aturan yang diubah oleh aktivitas yang diaudit. Misalnya: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nama aturan analitik tempat aktivitas yang diaudit terjadi. |
| ResourceGroupName | String | Grup sumber daya ruang kerja tempat aktivitas yang diaudit terjadi. |
| ResourceId | String | ID sumber daya aturan analitik tempat aktivitas yang diaudit terjadi. |
| SubscriptionId | String | ID langganan ruang kerja tempat aktivitas yang diaudit terjadi. |
| UpdatedResourceState | Dinamis (json) | Tas JSON yang menjelaskan aturan setelah perubahan. |
| Uri | String | ID sumber daya jalur lengkap dari aturan analitik. |
| WorkspaceId | String | ID sumber daya ruang kerja tempat aktivitas yang diaudit terjadi. |
| WorkspaceName | String | Nama ruang kerja tempat aktivitas yang diaudit terjadi. |
Langkah berikutnya
- Pelajari tentang audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
- Aktifkan audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
- Pantau kesehatan aturan otomatisasi dan playbook Anda.
- Pantau kesehatan konektor data Anda.
- Pantau kesehatan dan integritas aturan analitik Anda.
- Referensi tabel SentinelHealth