Partager via


Référence de table d’audit Microsoft Sentinel

Cet article décrit les champs des tables SentinelAudit, qui sont utilisées pour l’audit de l’activité des utilisateurs dans les ressources Microsoft Sentinel. Avec la fonctionnalité d’audit de Microsoft Sentinel, vous pouvez suivre les actions effectuées dans votre SIEM et obtenir des informations sur les modifications apportées à votre environnement et sur les utilisateurs qui ont apporté ces modifications.

Découvrez comment interroger et utiliser la table d’audit pour un monitoring et une visibilité approfondis des actions dans votre environnement :

Important

La table de données SentinelAudit est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

La fonctionnalité d’audit de Microsoft Sentinel couvre actuellement uniquement le type de ressource de règle d’analytique, bien que d’autres types puissent être ajoutés ultérieurement. La plupart des champs de données dans les tableaux suivants s’appliqueront à plusieurs types de ressources, mais certains ont des applications spécifiques pour chaque type. Les descriptions ci-dessous indiquent l’une ou l’autre manière.

Schéma des colonnes de table SentinelAudit

Le tableau suivant décrit les colonnes et les données générées dans la table de données SentinelAudit :

ColumnName ColumnType Description
TenantId String ID de locataire de votre espace de travail Microsoft Sentinel.
TimeGenerated Datetime Heure (UTC) à laquelle l’activité d’audit s’est produite.
OperationName String Opération Azure en cours d’enregistrement. Par exemple :
- Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
SentinelResourceId String Identificateur unique de l’espace de travail Microsoft Sentinel et de la ressource associée sur laquelle l’activité d’audit s’est produite.
SentinelResourceName String Nom de la ressource. Pour les règles d’analyse, il s’agit du nom de règle.
État String Indique Success ou Failure pour OperationName.
Description String Décrit l’opération, y compris les données étendues si nécessaire. Par exemple, pour les échecs, cette colonne peut indiquer la raison de l’échec.
WorkspaceId String Identificateur unique (GUID) de l’espace de travail sur lequel l’activité d’audit s’est produite. L’intégralité de l’identificateur de ressource Azure est disponible dans la colonne SentinelResourceID.
SentinelResourceType String Type de ressource Microsoft Sentinel en cours d’analyse.
SentinelResourceKind String Type spécifique de ressource surveillée. Par exemple, pour les règles d’analytique : NRT.
CorrelationId String ID de corrélation d’événement au format GUID.
ExtendedProperties Dynamique (conteneur JSON) Conteneur JSON qui varie en fonction de la valeur OperationName et de l'état de l’événement.
Consultez la section Propriétés étendues pour plus d’informations.
Type String SentinelAudit

Noms des opérations pour les différents types de ressources

Types de ressource Noms des opérations États
Règles analytiques - Microsoft.SecurityInsights/alertRules/Write
- Microsoft.SecurityInsights/alertRules/Delete
Succès
Échec

Propriétés étendues

Règles analytiques

Les propriétés étendues des règles d’analyse reflètent certains paramètres de règle.

ColumnName ColumnType Description
CallerIPAddress String Adresse IP à partir de laquelle l’action a été initiée.
CallerName String Utilisateur ou application qui a lancé l’action.
OriginalResourceState Dynamique (conteneur JSON) Conteneur JSON qui décrit la règle avant la modification.
Motif String Raison de l’échec de l’opération. Par exemple : No permissions.
ResourceDiffMemberNames Array[String] Tableau des propriétés de règle modifiées par l’activité auditée. Par exemple : ['custom_details','look_back'].
ResourceDisplayName String Nom de la règle analytique sur laquelle l’activité d’audit s’est produite.
ResourceGroupName String Groupe de ressources de l’espace de travail sur lequel l’activité d’audit s’est produite.
ResourceId String ID de la ressource de la règle analytique sur laquelle l’activité d’audit s’est produite.
SubscriptionId String ID d’abonnement de l’espace de travail sur lequel l’activité d’audit s’est produite.
UpdatedResourceState Dynamique (conteneur JSON) Un conteneur JSON qui décrit la règle avant la modification.
Uri String L’ID de la ressource de chemin d’accès complet de la règle d’analytique.
WorkspaceId String ID de la ressource de l’espace de travail sur lequel l’activité d’audit s’est produite.
WorkspaceName String Nom de l’espace de travail sur lequel l’activité d’audit s’est produite.

Étapes suivantes