Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Felder in den SentinelAudit-Tabellen beschrieben, die zum Überwachen von Benutzeraktivitäten in Microsoft Sentinel Ressourcen verwendet werden. Mit der Microsoft Sentinel-Überwachungsfunktion können Sie die in Ihrem SIEM ausgeführten Aktionen im Fokus behalten und Informationen zu allen Änderungen erhalten, die an Ihrer Umgebung und den Benutzern vorgenommen wurden, die diese Änderungen vorgenommen haben.
Erfahren Sie, wie Sie die Überwachungstabelle für eine tiefere Überwachung und Sichtbarkeit von Aktionen in Ihrer Umgebung abfragen und verwenden .
das Überwachungsfeature von Microsoft Sentinel deckt derzeit nur den Ressourcentyp der Analyseregel ab, andere Typen können jedoch später hinzugefügt werden. Viele der Datenfelder in den folgenden Tabellen gelten für Ressourcentypen, aber einige verfügen über spezifische Anwendungen für jeden Typ. Die folgenden Beschreibungen weisen auf die eine oder andere Weise hin.
SentinelAudit-Tabellenspaltenschema
In der folgenden Tabelle werden die Spalten und Daten beschrieben, die in der SentinelAudit-Datentabelle generiert werden:
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| TenantId | Zeichenfolge | Die Mandanten-ID für Ihren Microsoft Sentinel Arbeitsbereich. |
| TimeGenerated | Datetime | Die Zeit (UTC), zu der die überwachte Aktivität aufgetreten ist. |
| OperationName | Zeichenfolge | Der Azure Vorgang, der aufgezeichnet wird. Zum Beispiel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | Zeichenfolge | Der eindeutige Bezeichner des Microsoft Sentinel Arbeitsbereichs und der zugeordneten Ressource, in der die überwachte Aktivität aufgetreten ist. |
| SentinelResourceName | Zeichenfolge | Der Ressourcenname. Bei Analyseregeln ist dies der Regelname. |
| Status | Zeichenfolge | Gibt oder Failure für operationName anSuccess. |
| Beschreibung | Zeichenfolge | Beschreibt den Vorgang, einschließlich erweiterter Daten nach Bedarf. Bei Fehlern kann diese Spalte beispielsweise den Fehlergrund angeben. |
| WorkspaceId | Zeichenfolge | Die Arbeitsbereichs-GUID, auf der die überwachte Aktivität aufgetreten ist. Der vollständige Azure Ressourcenbezeichner ist in der Spalte SentinelResourceID verfügbar. |
| SentinelResourceType | Zeichenfolge | Der Microsoft Sentinel ressourcentyp, der überwacht wird. |
| SentinelResourceKind | Zeichenfolge | Der spezifische Typ der zu überwachenden Ressource. Beispiel: für Analyseregeln: NRT. |
| Correlationid | Zeichenfolge | Die Ereigniskorrelations-ID im GUID-Format. |
| ExtendedProperties | Dynamisch (JSON) | Ein JSON-Behälter, der je nach OperationName-Wert und Status des Ereignisses variiert. Weitere Informationen finden Sie unter Erweiterte Eigenschaften . |
| Type | Zeichenfolge | SentinelAudit |
Vorgangsnamen für verschiedene Ressourcentypen
| Ressourcentypen | Vorgangsnamen | Status |
|---|---|---|
| Analyseregeln | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Erfolgreich Fehler |
Erweiterte Eigenschaften
Analyseregeln
Erweiterte Eigenschaften für Analyseregeln spiegeln bestimmte Regeleinstellungen wider.
| ColumnName | ColumnType | Beschreibung |
|---|---|---|
| CallerIpAddress | Zeichenfolge | Die IP-Adresse, von der aus die Aktion initiiert wurde. |
| CallerName | Zeichenfolge | Der Benutzer oder die Anwendung, der die Aktion initiiert hat. |
| OriginalResourceState | Dynamisch (JSON) | Ein JSON-Behälter, der die Regel vor der Änderung beschreibt. |
| Grund | Zeichenfolge | Der Grund, warum der Vorgang fehlgeschlagen ist. Beispiel: No permissions. |
| ResourceDiffMemberNames | Array[Zeichenfolge] | Ein Array der Eigenschaften der Regel, die von der überwachten Aktivität geändert wurden. Beispiel: ['custom_details','look_back']. |
| ResourceDisplayName | Zeichenfolge | Name der Analyseregel, für die die überwachte Aktivität aufgetreten ist. |
| ResourceGroupName | Zeichenfolge | Ressourcengruppe des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| Resourceid | Zeichenfolge | Die Ressourcen-ID der Analyseregel, für die die überwachte Aktivität aufgetreten ist. |
| Subscriptionid | Zeichenfolge | Die Abonnement-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| UpdatedResourceState | Dynamisch (JSON) | Ein JSON-Behälter, der die Regel nach der Änderung beschreibt. |
| Uri | Zeichenfolge | Die Ressourcen-ID des vollständigen Pfads der Analyseregel. |
| WorkspaceId | Zeichenfolge | Die Ressourcen-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| WorkspaceName | Zeichenfolge | Der Name des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
Nächste Schritte
- Erfahren Sie mehr über die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Aktivieren Sie die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Überwachen Sie die Integrität Ihrer Automatisierungsregeln und Playbooks.
- Überwachen Sie die Integrität Ihrer Datenconnectors.
- Überwachen Sie die Integrität und Integrität Ihrer Analyseregeln.
- Referenz zu SentinelHealth-Tabellen