Comprendre les tables courantes
Lorsque Sentinel ingère des données à partir des connecteurs de données, le tableau suivant répertorie les tables les plus couramment utilisées.
| Table de charge de travail | Description |
|---|---|
| AzureActivity | Entrées du journal d’activité Azure offrant un aperçu de tous les événements survenus dans Azure au niveau de l’abonnement ou du groupe de gestion. |
| AzureDiagnostics | Stocke les journaux de ressources pour les services Azure qui utilisent le mode Azure Diagnostics. Les journaux de ressources décrivent le fonctionnement interne des ressources Azure. |
| AuditLogs | Journal d’audit pour Microsoft Entra ID. Comprend des informations sur les activités système liées à la gestion des utilisateurs et groupes, aux applications managées et aux activités d’annuaire. |
| CommonSecurityLog | Messages Syslog utilisant le CEF (Common Event Format). |
| McasShadowItReporting | Journaux Microsoft Defender for Cloud Apps |
| OfficeActivity | Journaux d’audit pour les abonnés Office 365 collectés par Microsoft Azure Sentinel. Y compris les journaux Exchange, SharePoint et Teams. |
| SecurityEvent | Événements de sécurité collectés à partir d’ordinateurs Windows par Azure Security Center ou Microsoft Azure Sentinel |
| SigninLogs | Journaux des connexions d’Azure Active Directory |
| syslog | Événements Syslog sur les ordinateurs Linux à l’aide de l’agent Log Analytics. |
| Événement | Événements sysmon collectés à partir d’un hôte Windows. |
| WindowsFirewall | Événements de pare-feu Windows |