Microsoft Sentinel 审核表参考
本文介绍 SentinelAudit 表中用于审核 Microsoft Sentinel 资源中的用户活动的字段。 使用 Microsoft Sentinel 审核功能,你可以密切关注 SIEM 中执行的操作,并获取有关对你的环境所做的更改和进行这些更改的用户的信息。
重要
SentinelAudit 数据表目前仅提供预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 的审核功能目前仅涵盖分析规则资源类型,但以后可能会添加其他类型。 下表中的许多数据字段将跨各种资源类型应用,但部分数据字段针对每种类型以特定方式应用。 以下说明将指出其中一种方式。
SentinelAudit 表列架构
下表介绍了 SentinelAudit 数据表中生成的列和数据:
ColumnName | ColumnType | 说明 |
---|---|---|
TenantId | 字符串 | Microsoft Sentinel 工作区的租户 ID。 |
TimeGenerated | datetime | 发生审核活动的时间 (UTC)。 |
OperationName | 字符串 | 正在记录的 Azure 操作。 例如: - Microsoft.SecurityInsights/alertRules/Write - Microsoft.SecurityInsights/alertRules/Delete |
SentinelResourceId | 字符串 | Microsoft Sentinel 工作区的唯一标识符和发生审核活动的关联资源。 |
SentinelResourceName | 字符串 | 资源名称。 对于分析规则,这是规则名称。 |
状态 | 字符串 | 对于 OperationName,指示 Success 或 Failure 。 |
说明 | String | 描述操作,包括扩展数据(视需要)。 例如,对于失败,此列可以指示失败原因。 |
WorkspaceId | String | 发生审核活动的工作区 GUID。 完整的 Azure 资源标识符在 SentinelResourceID 列中可用。 |
SentinelResourceType | 字符串 | 正被监视的 Microsoft Sentinel 资源类型。 |
SentinelResourceKind | String | 要监视的资源的特定类型。 例如,对于分析规则:NRT 。 |
CorrelationId | 字符串 | GUID 格式的事件相关 ID。 |
ExtendedProperties | 动态 (json) | 随 OperationName 值和事件的状态而改变的 JSON 包。 有关详细信息,请参阅扩展属性。 |
类型 | 字符串 | SentinelAudit |
扩展属性
分析规则
分析规则的扩展属性反映某些规则设置。
ColumnName | ColumnType | 说明 |
---|---|---|
CallerIpAddress | String | 启动操作的 IP 地址。 |
CallerName | String | 启动操作的用户或应用程序。 |
OriginalResourceState | 动态 (json) | 描述更改前规则的 JSON 包。 |
原因 | String | 操作失败的原因。 例如:No permissions 。 |
ResourceDiffMemberNames | Array[String] | 已由审核活动更改的规则属性数组。 例如:['custom_details','look_back'] 。 |
ResourceDisplayName | String | 发生审核活动的分析规则的名称。 |
ResourceGroupName | String | 发生审核活动的工作区的资源组。 |
ResourceId | String | 发生审核活动的分析规则的资源 ID。 |
SubscriptionId | String | 发生审核活动的工作区的订阅 ID。 |
UpdatedResourceState | 动态 (json) | 描述更改后规则的 JSON 包。 |
Uri | String | 分析规则的完整路径资源 ID。 |
WorkspaceId | String | 发生审核活动的工作区的资源 ID。 |
WorkspaceName | String | 发生审核活动的工作区的名称。 |
后续步骤
- 了解 Microsoft Sentinel 中的审核和运行状况监视。
- 在 Microsoft Sentinel 中启用审核和运行状况监视。
- 监视数据连接器的运行状况。
- SentinelHealth 表格引用