Referenz zu Microsoft SentinelAudit-Tabellen
In diesem Artikel werden die Felder in den SentinelAudit-Tabellen beschrieben, die zum Überwachen von Benutzeraktivitäten in Microsoft Sentinel-Ressourcen verwendet werden. Mit dem Überwachungsfeature von Microsoft Sentinel können Sie über die in Ihrem SIEM ausgeführten Aktionen auf dem Laufenden bleiben und Informationen zu allen Änderungen erhalten, die an Ihrer Umgebung vorgenommen wurden, sowie zu den Benutzern, die diese vorgenommen haben.
Erfahren Sie, wie Sie die Tabelle abfragen und verwenden können, um eine bessere Überwachung und Transparenz der Aktionen in Ihrer Umgebung zu erzielen.
Wichtig
Die SentinelAudit-Datentabelle befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Das Überwachungsfeature von Microsoft Sentinel deckt derzeit nur den Ressourcentyp „Analyseregel“ ab. Möglicherweise werden später jedoch noch andere Typen hinzugefügt. Viele der Datenfelder in den folgenden Tabellen gelten für alle Ressourcentypen hinweg. Einige von ihnen dienen aber spezifischen Zwecken für den jeweiligen Typ. Dies lässt sich anhand der nachstehenden Beschreibungen erkennen.
SentinelAudit-Tabellenspaltenschema
In der folgenden Tabelle werden die Spalten und Daten beschrieben, die in der SentinelAudit-Datentabelle generiert werden:
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| TenantId | String | Die Mandanten-ID für Ihren Microsoft Sentinel-Arbeitsbereich. |
| TimeGenerated | Datetime | Der Zeitpunkt (UTC), an dem die überwachte Aktivität aufgetreten ist. |
| OperationName | String | Der Azure-Vorgang, der aufgezeichnet wird. Beispiel: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Der eindeutige Bezeichner des Microsoft Sentinel-Arbeitsbereichs inklusive der zugehörigen Ressource, für den die überwachte Aktivität aufgetreten ist. |
| SentinelResourceName | String | Der Name der Ressource. Bei Analyseregeln ist dies der Name der Regel. |
| Status | Zeichenfolge | Zeigt „Success“ oder „Failure“ für den Vorgangsnamen an. |
| Beschreibung | String | Beschreibt den Vorgang, einschließlich erweiterter Daten nach Bedarf. Bei Fehlern kann diese Spalte beispielsweise die Fehlerursache angeben. |
| WorkspaceId | String | Die GUID des Arbeitsbereichs, für die die überwachte Aktivität aufgetreten ist. Der vollständige Azure-Ressourcenbezeichner ist in der Spalte SentinelResourceID verfügbar. |
| SentinelResourceType | String | Der überwachte Microsoft Sentinel-Ressourcentyp. |
| SentinelResourceKind | String | Der spezifische Typ der überwachten Ressource. Für Analyseregeln lautet dieser beispielsweise „NRT“. |
| CorrelationId | String | Die Ereigniskorrelations-ID im GUID-Format. |
| ExtendedProperties | Dynamisch (JSON) | Ein JSON-Behälter, der je nach Wert von OperationNameund Status des Ereignisses variiert. Einzelheiten finden Sie unter Erweiterte Eigenschaften. |
| Type | String | SentinelAudit |
Vorgangsnamen für verschiedene Ressourcentypen
| Ressourcentypen | Vorgangsnamen | Status |
|---|---|---|
| Analyseregeln | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Erfolg Fehler |
Erweiterte Eigenschaften
Analyseregeln
Erweiterte Eigenschaften für Analyseregeln spiegeln bestimmte Regeleinstellungen wider.
| ColumnName | ColumnType | BESCHREIBUNG |
|---|---|---|
| CallerIpAddress | String | Die IP-Adresse, über die die Aktion initiiert wurde. |
| CallerName | String | Der Benutzer oder die Anwendung, die die Aktion initiiert hat. |
| OriginalResourceState | Dynamisch (JSON) | Eine JSON-Bag, die die Regel vor der Änderung beschreibt. |
| `Reason` | String | Der Grund, warum der Vorgang fehlgeschlagen ist. Beispiel: No permissions. |
| ResourceDiffMemberNames | Array[String] | Ein Array der Regeleigenschaften, die von der überwachten Aktivität geändert wurden. Beispiel: ['custom_details','look_back']. |
| ResourceDisplayName | String | Der Name der Analyseregel, bei der die überwachte Aktivität aufgetreten ist. |
| ResourceGroupName | String | Die Ressourcengruppe des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| ResourceId | String | Die Ressourcen-ID der Analyseregel, bei der die überwachte Aktivität aufgetreten ist. |
| SubscriptionId | String | Die Abonnement-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| UpdatedResourceState | Dynamisch (JSON) | Eine JSON-Bag, die die Regel nach der Änderung beschreibt. |
| URI | String | Der vollständige Pfad der Ressourcen-ID der Analyseregel. |
| WorkspaceId | String | Die Ressourcen-ID des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
| WorkspaceName | String | Der Name des Arbeitsbereichs, in dem die überwachte Aktivität aufgetreten ist. |
Nächste Schritte
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Überwachen der Integrität der Automatisierungsregeln und Playbooks.
- Überwachen der Integrität der Datenconnectors.
- Überwachen Sie die Integrität Ihrer Analyseregeln.
- Referenz zur Tabelle SentinelHealth