Entender as tabelas do Microsoft Sentinel
O Microsoft Azure Sentinel tem regras analíticas que geram alertas e incidentes de acordo com a consulta das tabelas na Análise de logs. As tabelas primárias para gerenciar alertas e incidentes são SecurityAlert e SecurityIncident. O Microsoft Azure Sentinel oferece tabelas como repositório de indicadores e watchlists.
Observação
Alguns conectores de dados do Sentinel ingerem alertas diretamente.
Abaixo estão as tabelas relacionadas aos recursos do Microsoft Azure Sentinel.
| Tabela | Descrição |
|---|---|
| SecurityAlert | Contém alertas gerados pelas regras analíticas do Sentinel. Também pode incluir alertas criados diretamente por um conector de dados do Sentinel |
| SecurityIncident | Os alertas podem gerar incidentes. Os incidentes estão relacionados a alertas. |
| ThreatIntelligenceIndicator | Contém indicadores ingeridos dos conectores de dados ou criados pelo usuário, como hashes de arquivo, endereços IP, domínios |
| Watchlist | Uma watchlist do Microsoft Azure Sentinel contém dados importados. |