Referens för Microsoft Sentinel-granskningstabeller
Den här artikeln beskriver fälten i SentinelAudit-tabellerna, som används för granskning av användaraktivitet i Microsoft Sentinel-resurser. Med granskningsfunktionen i Microsoft Sentinel kan du hålla koll på de åtgärder som vidtas i SIEM och få information om eventuella ändringar i din miljö och de användare som har gjort dessa ändringar.
Lär dig hur du frågar och använder granskningstabellen för djupare övervakning och synlighet av åtgärder i din miljö.
Viktigt
Datatabellen SentinelAudit är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinels granskningsfunktion omfattar för närvarande endast resurstypen analysregel, även om andra typer kan läggas till senare. Många av datafälten i följande tabeller gäller för olika resurstyper, men vissa har specifika program för varje typ. Beskrivningarna nedan visar det ena eller det andra sättet.
Schema för SentinelAudit-tabellkolumner
I följande tabell beskrivs de kolumner och data som genereras i datatabellen SentinelAudit:
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| TenantId | Sträng | Klientorganisations-ID:t för din Microsoft Sentinel-arbetsyta. |
| TimeGenerated | Datumtid | Den tid (UTC) då den granskade aktiviteten inträffade. |
| OperationName | Sträng | Azure-åtgärden registreras. Exempel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Sträng | Den unika identifieraren för Microsoft Sentinel-arbetsytan och den associerade resurs som den granskade aktiviteten inträffade på. |
| SentinelResourceName | Sträng | Resursnamnet. För analysregler är detta regelnamnet. |
| Status | Sträng | Anger Success eller Failure för OperationName. |
| Beskrivning | Sträng | Beskriver åtgärden, inklusive utökade data efter behov. För fel kan den här kolumnen till exempel indikera orsaken till felet. |
| WorkspaceId | Sträng | Det GUID för arbetsytan som den granskade aktiviteten inträffade på. Den fullständiga Azure-resursidentifieraren är tillgänglig i kolumnen SentinelResourceID . |
| SentinelResourceType | Sträng | Den Microsoft Sentinel-resurstyp som övervakas. |
| SentinelResourceKind | Sträng | Den specifika typen av resurs som övervakas. Till exempel för analysregler: NRT. |
| CorrelationId | Sträng | Händelsekorrelations-ID i GUID-format. |
| ExtendedProperties | Dynamisk (json) | En JSON-väska som varierar beroende på värdet OperationName och händelsens status . Mer information finns i Utökade egenskaper . |
| Typ | Sträng | SentinelAudit |
Åtgärdsnamn för olika resurstyper
| Resurstyper | Åtgärdsnamn | Status |
|---|---|---|
| Analysregler | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Klart Fel |
Utökade egenskaper
Analysregler
Utökade egenskaper för analysregler återspeglar vissa regelinställningar.
| ColumnName | ColumnType | Beskrivning |
|---|---|---|
| CallerIpAddress | Sträng | DEN IP-adress som åtgärden initierades från. |
| CallerName | Sträng | Användaren eller programmet som initierade åtgärden. |
| OriginalResourceState | Dynamisk (json) | En JSON-väska som beskriver regeln före ändringen. |
| Anledning | Sträng | Anledningen till att åtgärden misslyckades. Exempel: No permissions. |
| ResourceDiffMemberNames | Matris[Sträng] | En matris med egenskaperna för regeln som ändrades av den granskade aktiviteten. Exempel: ['custom_details','look_back']. |
| ResourceDisplayName | Sträng | Namnet på analysregeln som den granskade aktiviteten inträffade på. |
| ResourceGroupName | Sträng | Resursgrupp för arbetsytan där den granskade aktiviteten inträffade. |
| ResourceId | Sträng | Resurs-ID för analysregeln som den granskade aktiviteten inträffade på. |
| SubscriptionId | Sträng | Prenumerations-ID för arbetsytan där den granskade aktiviteten inträffade. |
| UpdatedResourceState | Dynamisk (json) | En JSON-påse som beskriver regeln efter ändringen. |
| Uri | Sträng | Resurs-ID:t för hela sökvägen för analysregeln. |
| WorkspaceId | Sträng | Resurs-ID för arbetsytan där den granskade aktiviteten inträffade. |
| WorkspaceName | Sträng | Namnet på arbetsytan där den granskade aktiviteten inträffade. |
Nästa steg
- Läs mer om granskning och hälsoövervakning i Microsoft Sentinel.
- Aktivera granskning och hälsoövervakning i Microsoft Sentinel.
- Övervaka hälsotillståndet för dina automatiseringsregler och spelböcker.
- Övervaka hälsotillståndet för dina dataanslutningar.
- Övervaka hälsotillståndet och integriteten för dina analysregler.
- Referens för SentinelHealth-tabeller