Entender as tabelas comuns
Abaixo estão as tabelas mais usadas quando o Sentinel ingere dados dos conectores de dados.
| Tabela | Descrição |
|---|---|
| AzureActivity | As entradas do Log de atividades do Azure que fornecem insights sobre todos os eventos no nível de assinatura ou no nível de grupo de gerenciamento que ocorreram no Azure. |
| AzureDiagnostics | Armazena logs de recursos dos serviços do Azure que usam o modo de Diagnóstico do Azure. Os logs de recursos descrevem a operação interna dos recursos do Azure. |
| AuditLogs | Log de auditoria do Microsoft Entra ID. Inclui informações da atividade do sistema sobre os aplicativos e as atividades de diretório gerenciados por usuários e grupos. |
| CommonSecurityLog | Mensagens de syslog com o CEF (Formato Comum de Evento). |
| McasShadowItReporting | Registros em logs do Microsoft Defender for Cloud Apps |
| OfficeActivity | Logs de auditoria para locatários do Office 365 coletados pelo Microsoft Azure Sentinel. Isso incluiu os logs do Exchange, do SharePoint e do Teams. |
| SecurityEvent | Eventos de segurança coletados de computadores Windows pela Central de Segurança do Azure ou pelo Microsoft Azure Sentinel |
| SigninLogs | Logs de entrada do Azure Active Directory |
| syslog | Eventos de syslog em computadores Linux usando o agente do Log Analytics. |
| Evento | Eventos Sysmon coletados de um host do Windows. |
| WindowsFirewall | Eventos do Firewall do Windows. |