Microsoft Sentinel 审核表参考

本文介绍 SentinelAudit 表中用于审核 Microsoft Sentinel 资源中的用户活动的字段。使用 Microsoft Sentinel 审核功能，你可以密切关注 SIEM 中执行的操作，并获取有关对你的环境所做的更改和进行这些更改的用户的信息。

了解如何查询和使用审核表，以便更深入地监视和查看环境中的操作。

重要

SentinelAudit 数据表目前仅提供预览版。请参阅 Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 的审核功能目前仅涵盖分析规则资源类型，但以后可能会添加其他类型。下表中的许多数据字段将跨各种资源类型应用，但部分数据字段针对每种类型以特定方式应用。以下说明将指出其中一种方式。

SentinelAudit 表列架构

下表介绍了 SentinelAudit 数据表中生成的列和数据：

ColumnName	ColumnType	说明
TenantId	字符串	Microsoft Sentinel 工作区的租户 ID。
TimeGenerated	datetime	发生审核活动的时间 (UTC)。
OperationName	字符串	正在记录的 Azure 操作。例如： - `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`
SentinelResourceId	字符串	Microsoft Sentinel 工作区的唯一标识符和发生审核活动的关联资源。
SentinelResourceName	字符串	资源名称。对于分析规则，这是规则名称。
状态	字符串	对于 OperationName，指示 `Success` 或 `Failure`。
说明	String	描述操作，包括扩展数据（视需要）。例如，对于失败，此列可以指示失败原因。
WorkspaceId	String	发生审核活动的工作区 GUID。完整的 Azure 资源标识符在 SentinelResourceID 列中可用。
SentinelResourceType	字符串	正被监视的 Microsoft Sentinel 资源类型。
SentinelResourceKind	String	要监视的资源的特定类型。例如，对于分析规则：`NRT`。
CorrelationId	字符串	GUID 格式的事件相关 ID。
ExtendedProperties	动态 (json)	随 OperationName 值和事件的状态而改变的 JSON 包。有关详细信息，请参阅扩展属性。
类型	String	`SentinelAudit`

资源类型	操作名称	状态
分析规则	- `Microsoft.SecurityInsights/alertRules/Write` - `Microsoft.SecurityInsights/alertRules/Delete`	Success 失败

分析规则的扩展属性反映某些规则设置。

ColumnName	ColumnType	说明
CallerIpAddress	String	启动操作的 IP 地址。
CallerName	String	启动操作的用户或应用程序。
OriginalResourceState	动态 (json)	描述更改前规则的 JSON 包。
原因	String	操作失败的原因。例如：`No permissions`。
ResourceDiffMemberNames	Array[String]	已由审核活动更改的规则属性数组。例如：`['custom_details','look_back']`。
ResourceDisplayName	String	发生审核活动的分析规则的名称。
ResourceGroupName	String	发生审核活动的工作区的资源组。
ResourceId	String	发生审核活动的分析规则的资源 ID。
SubscriptionId	String	发生审核活动的工作区的订阅 ID。
UpdatedResourceState	动态 (json)	描述更改后规则的 JSON 包。
Uri	String	分析规则的完整路径资源 ID。
WorkspaceId	String	发生审核活动的工作区的资源 ID。
WorkspaceName	String	发生审核活动的工作区的名称。