Microsoft Sentinel のテーブルについて理解する
Microsoft Sentinel には、Log Analytics 内のテーブルのクエリに基づいてアラートとインシデントを生成する分析規則があります。 アラートとインシデントを管理するための主要なテーブルは、SecurityAlert と SecurityIncident です。 Microsoft Sentinel には、インジケーターとウォッチリストのリポジトリとなるテーブルがあります。
注意
Sentinel データ コネクタの中には、アラートを直接取り込むものもあります。
次の表は、Microsoft Sentinel の機能に関連するテーブルです。
| テーブル | 説明 |
|---|---|
| SecurityAlert | Sentinel の分析規則から生成されたアラートが含まれています。 また、Sentinel データ コネクタから直接作成されたアラートを含むこともあります |
| SecurityIncident | アラートにより、インシデントが生成される可能性があります。 インシデントはアラートに関連しています。 |
| ThreatIntelligenceIndicator | ファイル ハッシュ、IP アドレス、ドメインなど、ユーザーが作成した、またはデータ コネクタに取り込まれたインジケーターが含まれます |
| Watchlist | Microsoft Sentinel ウォッチリストには、インポートされたデータが含まれています。 |