Referência de tabelas de auditoria do Microsoft Sentinel
Este artigo descreve os campos nas tabelas SentinelAudit, que são utilizados para auditar a atividade do utilizador nos recursos do Microsoft Sentinel. Com a funcionalidade de auditoria do Microsoft Sentinel, pode controlar as ações realizadas no SIEM e obter informações sobre quaisquer alterações efetuadas ao seu ambiente e aos utilizadores que efetuou essas alterações.
Saiba como consultar e utilizar a tabela de auditoria para uma monitorização e visibilidade mais aprofundadas das ações no seu ambiente.
Importante
A tabela de dados SentinelAudit está atualmente em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Atualmente, a funcionalidade de auditoria do Microsoft Sentinel abrange apenas o tipo de recurso da regra de análise, embora outros tipos possam ser adicionados mais tarde. Muitos dos campos de dados nas tabelas seguintes serão aplicados entre tipos de recursos, mas alguns têm aplicações específicas para cada tipo. As descrições abaixo indicarão uma forma ou outra.
SentinelAudit table columns schema (Esquema de colunas de tabela SentinelAudit)
A tabela seguinte descreve as colunas e os dados gerados na tabela de dados SentinelAudit:
| ColumnName | ColumnType | Description |
|---|---|---|
| TenantId | String | O ID de inquilino da área de trabalho do Microsoft Sentinel. |
| TimeGenerated | Datetime | A hora (UTC) em que ocorreu a atividade auditada. |
| OperationName | String | A operação do Azure a ser registada. Por exemplo: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | O identificador exclusivo da área de trabalho do Microsoft Sentinel e o recurso associado no qual ocorreu a atividade auditada. |
| SentinelResourceName | String | O nome do recurso. Para regras de análise, este é o nome da regra. |
| Estado | String | Success Indica ou Failure para o OperationName. |
| Descrição | String | Descreve a operação, incluindo dados expandidos conforme necessário. Por exemplo, para falhas, esta coluna pode indicar o motivo da falha. |
| WorkspaceId | String | O GUID da área de trabalho no qual ocorreu a atividade auditada. O Identificador de Recursos do Azure completo está disponível na coluna SentinelResourceID . |
| SentinelResourceType | String | O tipo de recurso do Microsoft Sentinel a ser monitorizado. |
| SentinelResourceKind | String | O tipo específico de recurso a ser monitorizado. Por exemplo, para regras de análise: NRT. |
| CorrelationId | String | O ID de correlação de eventos no formato GUID. |
| Propriedades Expandidas | Dinâmico (json) | Um saco JSON que varia consoante o valor OperationName e o Estado do evento. Veja Propriedades expandidas para obter detalhes. |
| Tipo | String | SentinelAudit |
Nomes de operações para diferentes tipos de recursos
| Tipos de recurso | Nomes das operações | Estados |
|---|---|---|
| Regras de análise | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Com êxito Falha |
Propriedades expandidas
Regras de análise
As propriedades expandidas das regras de análise refletem determinadas definições de regras.
| ColumnName | ColumnType | Description |
|---|---|---|
| CallerIpAddress | String | O endereço IP a partir do qual a ação foi iniciada. |
| CallerName | String | O utilizador ou aplicação que iniciou a ação. |
| OriginalResourceState | Dinâmico (json) | Um saco JSON que descreve a regra antes da alteração. |
| Razão | String | O motivo pelo qual a operação falhou. Por exemplo: No permissions. |
| ResourceDiffMemberNames | Matriz[Cadeia] | Uma matriz das propriedades da regra que foram alteradas pela atividade auditada. Por exemplo: ['custom_details','look_back']. |
| ResourceDisplayName | String | Nome da regra de análise na qual ocorreu a atividade auditada. |
| ResourceGroupName | String | Grupo de recursos da área de trabalho na qual ocorreu a atividade auditada. |
| ResourceId | String | O ID de recurso da regra de análise em que ocorreu a atividade auditada. |
| SubscriptionId | String | O ID da subscrição da área de trabalho na qual ocorreu a atividade auditada. |
| UpdatedResourceState | Dinâmico (json) | Um saco JSON que descreve a regra após a alteração. |
| Uri | String | O ID de recurso de caminho completo da regra de análise. |
| WorkspaceId | String | O ID de recurso da área de trabalho na qual ocorreu a atividade auditada. |
| WorkspaceName | String | O nome da área de trabalho na qual ocorreu a atividade auditada. |
Passos seguintes
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Monitorize o estado de funcionamento das suas regras de automatização e manuais de procedimentos.
- Monitorize o estado de funcionamento dos conectores de dados.
- Monitorize o estado de funcionamento e integridade das suas regras de análise.
- Referência de tabelas SentinelHealth