Informazioni sulle tabelle di Microsoft Sentinel
Microsoft Sentinel prevede regole analitiche che generano avvisi ed eventi imprevisti in base all'esecuzione di query sulle tabelle all'interno di Log Analytics. Le tabelle primarie per la gestione degli avvisi e degli eventi imprevisti sono SecurityAlert e SecurityIncident. Microsoft Sentinel fornisce tabelle come repository di indicatori e watchlist.
Nota
Alcuni connettori dati di Azure Sentinel inseriranno gli avvisi direttamente.
Nella tabella che segue sono illustrate le tabelle correlate alle funzionalità Microsoft Sentinel.
Table | Descrizione |
---|---|
SecurityAlert | Contiene gli avvisi generati dalle regole analitiche di Sentinel. Potrebbe inoltre includere avvisi creati direttamente da un connettore dati Sentinel |
SecurityIncident | Gli avvisi possono generare eventi imprevisti. Gli eventi imprevisti sono correlati agli avvisi. |
ThreatIntelligenceIndicator | Contiene indicatori creati dall'utente o inseriti dal connettere dati, ad esempio hash file, indirizzi IP, domini |
Watchlist | Una watchlist di Microsoft Sentinel contiene dati importati. |