Entender as tabelas do Microsoft Sentinel
O Microsoft Sentinel tem regras analíticas que geram alertas e incidentes com base na consulta das tabelas no Log Analytics. As principais tabelas para gerenciar alertas e incidentes são SecurityAlert e SecurityIncident. O Microsoft Sentinel fornece tabelas que atuam como repositórios de indicadores e listas de observação.
Observação
Alguns conectores de dados do Sentinel ingerem alertas diretamente.
As tabelas a seguir são as tabelas relacionadas a funcionalidades do Microsoft Sentinel.
| Tabela | Descrição |
|---|---|
SecurityAlert |
Contém alertas gerados a partir de regras analíticas do Sentinel. Além disso, ele pode incluir alertas criados diretamente de um Sentinel Data Connector. |
SecurityIncident |
Os alertas podem gerar incidentes. Os incidentes estão relacionados a alertas. |
ThreatIntelligenceIndicator |
Contém indicadores ingeridos pelo conector de dados ou criados pelo usuário, como Hashes de Arquivo, Endereços IP, Domínios |
Watchlist |
Uma watchlist do Microsoft Sentinel contém dados importados. |