Знакомство с таблицами Microsoft Sentinel
Microsoft Sentinel содержит аналитические правила, которые будут создавать оповещения и инциденты на основе запросов к таблицам в Log Analytics. Основными таблицами для управления оповещениями и инцидентами являются SecurityAlert и SecurityIncident. Microsoft Sentinel предоставляет таблицы как репозиторий индикаторов и списков к просмотру.
Примечание.
Некоторые соединители данных Sentinel будут принимать оповещения напрямую.
Ниже приведена таблица, относящаяся к функциям Microsoft Sentinel.
| Таблицу | Description |
|---|---|
| SecurityAlert | Содержит оповещения, созданные аналитическими правилами Sentinel. Кроме того, может включать оповещения, созданные непосредственно из соединителя данных Sentinel. |
| SecurityIncident | Оповещения могут создавать инциденты. Инциденты связаны с оповещениями. |
| ThreatIntelligenceIndicator | Содержит индикаторы, созданные пользователем или принятые соединителем данных, такие как хэши файлов, IP-адреса, домены |
| Watchlist | Список к просмотру в Microsoft Sentinel содержит импортированные данные. |