Entender as tabelas comuns
Abaixo estão as tabelas mais usadas quando o Sentinel ingere dados dos conectores de dados.
| Tabela | Descrição |
|---|---|
AzureActivity |
Entradas do log de atividades do Azure que fornecem informações sobre eventos que ocorreram no nível de assinatura ou no nível de grupo de gerenciamento no Azure. |
AzureDiagnostics |
Armazena logs de recursos dos serviços do Azure que usam o modo de Diagnóstico do Azure. Os logs de recursos descrevem a operação interna dos recursos do Azure. |
AuditLogs |
Log de auditoria do Microsoft Entra ID. Inclui informações da atividade do sistema sobre os aplicativos e as atividades de diretório gerenciados por usuários e grupos. |
CommonSecurityLog |
Mensagens de syslog com o CEF (Formato Comum de Evento). |
McasShadowItReporting |
Registros em logs do Microsoft Defender for Cloud Apps |
OfficeActivity |
Logs de auditoria para locatários do Office 365 coletados pelo Microsoft Azure Sentinel. Isso incluiu os logs do Exchange, do SharePoint e do Teams. |
SecurityEvent |
Eventos de segurança coletados de computadores Windows pela Central de Segurança do Azure ou pelo Microsoft Azure Sentinel |
SigninLogs |
Logs de entrada do Azure Active Directory |
Syslog |
Eventos de syslog em computadores Linux usando o agente do Log Analytics. |
Event |
Eventos Sysmon coletados de um host do Windows. |
WindowsFirewall |
Eventos do Firewall do Windows. |