この記事では、SentinelAudit テーブルのフィールドについて説明します。これは、Microsoft Sentinel リソースのユーザー アクティビティの監査に使用されます。 Microsoft Sentinel監査機能を使用すると、SIEM で実行されたアクションをタブに保持し、環境に加えられた変更とその変更を行ったユーザーに関する情報を取得できます。
監査テーブルを照会して使用して、環境内のアクションをより詳細に監視および可視化する方法について説明します。
Microsoft Sentinelの監査機能は現在、分析ルールリソースの種類のみを対象としていますが、後で他の種類を追加することもできます。 次の表のデータ フィールドの多くは、リソースの種類にまたがって適用されますが、種類ごとに特定のアプリケーションを持つものもあります。 以下の説明は、どちらか一方の方法を示しています。
SentinelAudit テーブル列スキーマ
次の表では、SentinelAudit データ テーブルで生成された列とデータについて説明します。
| ColumnName | ColumnType | 説明 |
|---|---|---|
| TenantId | 文字列 | Microsoft Sentinel ワークスペースのテナント ID。 |
| TimeGenerated | Datetime | 監査されたアクティビティが発生した時刻 (UTC)。 |
| OperationName | 文字列 | 記録されているAzure操作。 例: - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
| SentinelResourceId | 文字列 | Microsoft Sentinel ワークスペースの一意識別子と、監査されたアクティビティが発生した関連リソース。 |
| SentinelResourceName | 文字列 | リソース名。 分析ルールの場合、これはルール名です。 |
| ステータス | 文字列 |
OperationName のSuccessまたはFailureを示します。 |
| 説明 | 文字列 | 必要に応じて拡張データを含む操作について説明します。 たとえば、エラーの場合、この列はエラーの理由を示している可能性があります。 |
| WorkspaceId | 文字列 | 監査されたアクティビティが発生したワークスペース GUID。 完全なAzureリソース識別子は、SentinelResourceID 列で使用できます。 |
| SentinelResourceType | 文字列 | 監視対象のMicrosoft Sentinelリソースの種類。 |
| SentinelResourceKind | 文字列 | 監視対象の特定の種類のリソース。 たとえば、分析ルールの場合: NRT。 |
| Correlationid | 文字列 | GUID 形式のイベント相関 ID。 |
| ExtendedProperties | 動的 (json) |
OperationName 値とイベントの状態によって異なる JSON バッグ。 詳細については、「 拡張プロパティ 」を参照してください。 |
| Type | 文字列 | SentinelAudit |
さまざまなリソースの種類の操作名
| リソースの種類 | 操作名 | ステータス |
|---|---|---|
| 分析ルール | - Microsoft.SecurityInsights/alertRules/Write- Microsoft.SecurityInsights/alertRules/Delete |
成功 失敗 |
拡張プロパティ
分析ルール
分析ルールの拡張プロパティには、特定の ルール設定が反映されます。
| ColumnName | ColumnType | 説明 |
|---|---|---|
| CallerIpAddress | 文字列 | アクションが開始された IP アドレス。 |
| CallerName | 文字列 | アクションを開始したユーザーまたはアプリケーション。 |
| OriginalResourceState | 動的 (json) | 変更前のルールを記述する JSON バッグ。 |
| 理由 | 文字列 | 操作が失敗した理由。 例: No permissions。 |
| ResourceDiffMemberNames | Array[String] | 監査されたアクティビティによって変更されたルールのプロパティの配列。 例: ['custom_details','look_back']。 |
| ResourceDisplayName | 文字列 | 監査されたアクティビティが発生した分析ルールの名前。 |
| ResourceGroupName | 文字列 | 監査されたアクティビティが発生したワークスペースのリソース グループ。 |
| ResourceId | 文字列 | 監査されたアクティビティが発生した分析ルールのリソース ID。 |
| SubscriptionId | 文字列 | 監査されたアクティビティが発生したワークスペースのサブスクリプション ID。 |
| UpdatedResourceState | 動的 (json) | 変更後のルールを記述する JSON バッグ。 |
| Uri | 文字列 | 分析ルールの完全パス リソース ID。 |
| WorkspaceId | 文字列 | 監査されたアクティビティが発生したワークスペースのリソース ID。 |
| WorkspaceName | 文字列 | 監査されたアクティビティが発生したワークスペースの名前。 |
次の手順
- Microsoft Sentinelでの監査と正常性の監視について説明します。
- Microsoft Sentinelで監査と正常性の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- SentinelHealth テーブルリファレンス