Referência das tabelas de auditoria do Microsoft Sentinel
Este artigo descreve os campos nas tabelas SentinelAudit, que são usadas para auditar a atividade do usuário nos recursos do Microsoft Sentinel. Com o recurso de auditoria do Microsoft Sentinel, você pode manter as tabulações nas ações executadas no SIEM e obter informações sobre as alterações feitas em seu ambiente e os usuários que fizeram essas alterações.
Saiba como consultar e usar a tabela de auditoria para um monitoramento mais profundo e visibilidade das ações em seu ambiente.
Importante
A tabela de dados SentinelAudit está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
No momento, o recurso de auditoria do Microsoft Sentinel abrange apenas o tipo de recurso de regra de análise, embora outros tipos possam ser adicionados posteriormente. Muitos dos campos de dados nas tabelas a seguir serão aplicáveis a tipos de recursos, mas alguns têm aplicativos específicos para cada tipo. As descrições abaixo indicarão uma forma ou outra.
Esquema de colunas da tabela SentinelAudit
A seguinte tabela descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | ColumnType | Descrição |
|---|---|---|
| TenantId | String | A ID do locatário do workspace do Microsoft Sentinel. |
| TimeGenerated | Datetime | O horário (UTC) em que o evento de auditoria ocorreu. |
| OperationName | String | A operação do Azure que está sendo registrada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | O identificador exclusivo do espaço de trabalho do Microsoft Sentinel e o recurso associado no qual a atividade de auditoria ocorreu. |
| SentinelResourceName | String | O nome do recurso. Para as regras de análise, este é o nome da regra. |
| Status | String | Indica Success ou Failure para o OperationName. |
| Descrição | String | Descreve a operação, incluindo dados estendidos conforme necessário. Por exemplo, para falhas, essa coluna pode indicar o motivo da falha. |
| espaços de trabalhoId | String | O GUID do espaço de trabalho em que ocorreu a atividade de auditoria. O identificador completo de Recurso do Azure está disponível na coluna SentinelResourceID. |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel que está sendo monitorado. |
| SentinelResourceKind | String | O tipo específico de recurso que está sendo monitorado. Por exemplo, para regras de análise: NRT. |
| CorrelationId | String | A ID de correlação de eventos em formato GUID. |
| ExtendedProperties | Dinâmico (JSON) | Um recipiente JSON que varia de acordo com o valor de OperationName e o Status do evento. Confira Propriedades estendidas para obter mais detalhes. |
| Tipo | String | SentinelAudit |
Nomes de operação para diferentes tipos de recursos
| Tipos de recurso | Nomes de operação | Status |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Sucesso Falha |
Propriedades estendidas
Regras de análise
As propriedades estendidas para regras de análise refletem determinadas configurações de regras.
| ColumnName | ColumnType | Descrição |
|---|---|---|
| CallerIpAddress | String | O endereço IP do qual a ação foi iniciada. |
| CallerName | String | O usuário ou aplicativo que iniciou a ação. |
| OriginalResourceState | Dinâmico (JSON) | Um recipiente JSON que descreve a regra antes da alteração. |
| Motivo | String | O motivo pelo qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Array[String] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nome da regra de análise na qual a atividade de auditoria ocorreu. |
| ResourceGroupName | String | Grupo de recursos do espaço de trabalho no qual a atividade de auditoria ocorreu. |
| ResourceId | String | A ID de recurso da regra de análise na qual a atividade de auditoria ocorreu. |
| SubscriptionId | String | A ID da assinatura do espaço de trabalho no qual a atividade de auditoria ocorreu. |
| UpdatedResourceState | Dinâmico (JSON) | Um recipiente JSON que descreve a regra após a alteração. |
| Uri | String | A ID de recurso de caminho completo da regra de análise. |
| espaços de trabalhoId | String | A ID de recurso do espaço de trabalho no qual a atividade de auditoria ocorreu. |
| WorkspaceName | String | O nome do espaço de trabalho em que a atividade de auditoria ocorreu. |
Próximas etapas
- Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Monitore a integridade de suas regras de automação e guias estratégicos.
- Monitore a integridade de seus conectores de dados.
- Monitore a integridade das suas regras de análise.
- Referência da tabela SentinelHealth