この記事では、SentinelAudit テーブルのフィールドについて説明します。これは、Microsoft Sentinel リソースのユーザー アクティビティの監査に使用されます。 Microsoft Sentinel 監査機能を使用すると、SIEM で実行されたアクションをタブに保持し、環境に加えられた変更と、それらの変更を行ったユーザーに関する情報を取得できます。
監査テーブルに対してクエリを実行して使用し、環境内のアクションをより詳細に監視および表示する方法について説明します。
Microsoft Sentinel の監査機能は現在、分析ルールのリソースの種類のみを対象としていますが、他の種類は後で追加できます。 次の表のデータ フィールドの多くはリソースの種類にまたがって適用されますが、種類ごとに特定のアプリケーションを持つものもあります。 以下の説明は、一方または他の方法を示しています。
SentinelAudit テーブルの列スキーマ
次の表では、SentinelAudit データ テーブルで生成された列とデータについて説明します。
| ColumnName | カラムタイプ | Description |
|---|---|---|
| テナント ID | String | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | 日時 | 監査されたアクティビティが発生した時刻 (UTC)。 |
| OperationName | String | 記録されている Azure 操作。 例えば次が挙げられます。 - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | String | Microsoft Sentinel ワークスペースの一意識別子と、監査されたアクティビティが発生した関連リソース。 |
| SentinelResourceName | String | リソース名。 分析ルールの場合、これはルール名です。 |
| 地位 | String |
OperationName のSuccessまたはFailureを示します。 |
| 説明 | String | 必要に応じて拡張データを含む操作について説明します。 たとえば、エラーの場合、この列はエラーの理由を示している可能性があります。 |
| WorkspaceId | String | 監査されたアクティビティが発生したワークスペース GUID。 完全な Azure リソース識別子は、 SentinelResourceID 列で使用できます。 |
| SentinelResourceType | String | 監視対象の Microsoft Sentinel リソースの種類。 |
| SentinelResourceKind | String | 監視対象の特定の種類のリソース。 たとえば、分析ルールの場合: NRT。 |
| CorrelationId | String | GUID 形式のイベント関連付け ID。 |
| ExtendedProperties | 動的 (json) |
OperationName 値とイベントの状態によって異なる JSON バッグ。 詳細については、 拡張プロパティ を参照してください。 |
| タイプ | String | SentinelAudit |
さまざまなリソースの種類の操作名
| リソースの種類 | 操作名 | Statuses |
|---|---|---|
| 分析ルール | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
Success Failure |
拡張プロパティ
分析ルール
分析ルールの拡張プロパティには、特定の ルール設定が反映されます。
| ColumnName | カラムタイプ | Description |
|---|---|---|
| CallerIpAddress | String | アクションの開始元の IP アドレス。 |
| CallerName | String | アクションを開始したユーザーまたはアプリケーション。 |
| OriginalResourceState | 動的 (json) | 変更前のルールを記述する JSON バッグ。 |
| 理由 | String | 操作が失敗した理由。 たとえば、 No permissionsと指定します。 |
| ResourceDiffMemberNames | Array[String] | 監査されたアクティビティによって変更されたルールのプロパティの配列。 たとえば、 ['custom_details','look_back']と指定します。 |
| ResourceDisplayName | String | 監査されたアクティビティが発生した分析ルールの名前。 |
| ResourceGroupName | String | 監査されたアクティビティが発生したワークスペースのリソース グループ。 |
| リソース ID | String | 監査されたアクティビティが発生した分析ルールのリソース ID。 |
| サブスクリプション ID | String | 監査されたアクティビティが発生したワークスペースのサブスクリプション ID。 |
| UpdatedResourceState | 動的 (json) | 変更後のルールを記述する JSON バッグ。 |
| Uri | String | 分析ルールの完全パス リソース ID。 |
| WorkspaceId | String | 監査されたアクティビティが発生したワークスペースのリソース ID。 |
| WorkspaceName | String | 監査されたアクティビティが発生したワークスペースの名前。 |
次のステップ
- Microsoft Sentinel での監査と稼働状況の監視について確認します。
- Microsoft Sentinel で監査と稼働状況の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- SentinelHealth テーブルリファレンス