Microsoft Sentinel 审核表参考

本文介绍 SentinelAudit 表中用于审核 Microsoft Sentinel 资源中的用户活动的字段。 使用 Microsoft Sentinel 审核功能,你可以密切关注 SIEM 中执行的操作,并获取有关对你的环境所做的更改和进行这些更改的用户的信息。

重要

SentinelAudit 数据表目前仅提供预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 的审核功能目前仅涵盖分析规则资源类型,但以后可能会添加其他类型。 下表中的许多数据字段将跨各种资源类型应用,但部分数据字段针对每种类型以特定方式应用。 以下说明将指出其中一种方式。

SentinelAudit 表列架构

下表介绍了 SentinelAudit 数据表中生成的列和数据:

ColumnName ColumnType 说明
TenantId 字符串 Microsoft Sentinel 工作区的租户 ID。
TimeGenerated datetime 发生审核活动的时间 (UTC)。
OperationName 字符串 正在记录的 Azure 操作。 例如:
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId 字符串 Microsoft Sentinel 工作区的唯一标识符和发生审核活动的关联资源。
SentinelResourceName 字符串 资源名称。 对于分析规则,这是规则名称。
状态 字符串 对于 OperationName,指示 SuccessFailure
说明 String 描述操作,包括扩展数据(视需要)。 例如,对于失败,此列可以指示失败原因。
WorkspaceId String 发生审核活动的工作区 GUID。 完整的 Azure 资源标识符在 SentinelResourceID 列中可用。
SentinelResourceType 字符串 正被监视的 Microsoft Sentinel 资源类型。
SentinelResourceKind String 要监视的资源的特定类型。 例如,对于分析规则:NRT
CorrelationId 字符串 GUID 格式的事件相关 ID。
ExtendedProperties 动态 (json) OperationName 值和事件的状态而改变的 JSON 包。
有关详细信息,请参阅扩展属性
类型 字符串 SentinelAudit

扩展属性

分析规则

分析规则的扩展属性反映某些规则设置

ColumnName ColumnType 说明
CallerIpAddress String 启动操作的 IP 地址。
CallerName String 启动操作的用户或应用程序。
OriginalResourceState 动态 (json) 描述更改前规则的 JSON 包。
原因 String 操作失败的原因。 例如:No permissions
ResourceDiffMemberNames Array[String] 已由审核活动更改的规则属性数组。 例如:['custom_details','look_back']
ResourceDisplayName String 发生审核活动的分析规则的名称。
ResourceGroupName String 发生审核活动的工作区的资源组。
ResourceId String 发生审核活动的分析规则的资源 ID。
SubscriptionId String 发生审核活动的工作区的订阅 ID。
UpdatedResourceState 动态 (json) 描述更改后规则的 JSON 包。
Uri String 分析规则的完整路径资源 ID。
WorkspaceId String 发生审核活动的工作区的资源 ID。
WorkspaceName String 发生审核活动的工作区的名称。

后续步骤