Microsoft Sentinel denetim tabloları başvurusu
Bu makalede, Microsoft Sentinel kaynaklarında kullanıcı etkinliğini denetlemek için kullanılan SentinelAudit tablolarındaki alanlar açıklanmaktadır. Microsoft Sentinel denetim özelliğiyle, SIEM'inizde yapılan eylemleri takip edebilir ve ortamınızda ve bu değişiklikleri yapan kullanıcılarda yapılan değişiklikler hakkında bilgi edinebilirsiniz.
Ortamınızdaki eylemleri daha ayrıntılı izlemek ve görünürlük sağlamak için denetim tablosunu sorgulamayı ve kullanmayı öğrenin.
Önemli
SentinelAudit veri tablosu şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .
Microsoft Sentinel'in denetim özelliği şu anda yalnızca analiz kuralı kaynak türünü kapsar, ancak diğer türler daha sonra eklenebilir. Aşağıdaki tablolardaki veri alanlarının çoğu kaynak türlerine uygulanır, ancak bazılarında her tür için belirli uygulamalar bulunur. Aşağıdaki açıklamalar bir şekilde veya diğerinde gösterilir.
SentinelAudit tablo sütunları şeması
Aşağıdaki tabloda SentinelAudit veri tablosunda oluşturulan sütunlar ve veriler açıklanmaktadır:
| ColumnName | ColumnType | Description |
|---|---|---|
| Kiracı Kimliği | Dize | Microsoft Sentinel çalışma alanınızın kiracı kimliği. |
| TimeGenerated | Tarih saat | Denetlenen etkinliğin gerçekleştiği saat (UTC). |
| OperationName | Dize | Kaydedilen Azure işlemi. Örnek: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Dize | Microsoft Sentinel çalışma alanının benzersiz tanımlayıcısı ve denetlenen etkinliğin gerçekleştiği ilişkili kaynak. |
| SentinelResourceName | Dize | Kaynak adı. Analiz kuralları için bu kural adıdır. |
| Durum | Dize |
OperationName için veya Failure belirtirSuccess. |
| Açıklama | Dize | Gerektiğinde genişletilmiş veriler de dahil olmak üzere işlemi açıklar. Örneğin, hatalar için bu sütun hatanın nedenini gösterebilir. |
| WorkspaceId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanı GUID'i. Tam Azure Kaynak Tanımlayıcısı SentinelResourceID sütununda kullanılabilir. |
| SentinelResourceType | Dize | İzlenen Microsoft Sentinel kaynak türü. |
| SentinelResourceKind | Dize | İzlenen belirli kaynak türü. Örneğin, analiz kuralları için: NRT. |
| Correlationıd | Dize | GUID biçiminde olay bağıntı kimliği. |
| ExtendedProperties | Dinamik (json) |
OperationName değerine ve olayın Durumu'na göre değişen bir JSON paketi. Ayrıntılar için bkz . Genişletilmiş özellikler . |
| Tür | Dize | SentinelAudit |
Farklı kaynak türleri için işlem adları
| Kaynak türleri | İşlem adları | Durum |
|---|---|---|
| Analiz kuralları | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Başarılı Hata |
Genişletilmiş özellikler
Analiz kuralları
Analiz kurallarının genişletilmiş özellikleri belirli kural ayarlarını yansıtır.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIpAddress | Dize | Eylemin başlatıldığı IP adresi. |
| ÇağıranAdı | Dize | Eylemi başlatan kullanıcı veya uygulama. |
| OriginalResourceState | Dinamik (json) | Değişiklik öncesinde kuralı açıklayan bir JSON paketi. |
| Nedeni | Dize | İşlemin başarısız olmasının nedeni. Örneğin: No permissions. |
| ResourceDiffMemberNames | Dizi[Dize] | Denetlenen etkinlik tarafından değiştirilen kuralın özellikleri dizisi. Örneğin: ['custom_details','look_back']. |
| ResourceDisplayName | Dize | Denetlenen etkinliğin gerçekleştiği analiz kuralının adı. |
| ResourceGroupName | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak grubu. |
| ResourceId | Dize | Denetlenen etkinliğin gerçekleştiği analiz kuralının kaynak kimliği. |
| SubscriptionId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının abonelik kimliği. |
| UpdatedResourceState | Dinamik (json) | Değişiklik sonrasında kuralı açıklayan bir JSON paketi. |
| Urı | Dize | Analiz kuralının tam yol kaynak kimliği. |
| WorkspaceId | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının kaynak kimliği. |
| Workspacename | Dize | Denetlenen etkinliğin gerçekleştiği çalışma alanının adı. |
Sonraki adımlar
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Microsoft Sentinel'de denetim ve sistem durumu izlemeyi açın.
- Otomasyon kurallarınızın ve playbook'larınızın durumunu izleyin.
- Veri bağlayıcılarınızın durumunu izleyin.
- Analiz kurallarınızın sistem durumunu ve bütünlüğünü izleyin.
- SentinelHealth tabloları başvurusu