Förstå Microsoft Sentinel-tabeller
Microsoft Sentinel har analysregler som genererar aviseringar och incidenter baserat på frågor mot tabellerna i Log Analytics. De primära tabellerna för att hantera aviseringar och incidenter är SecurityAlert och SecurityIncident. Microsoft Sentinel tillhandahåller tabeller som ska vara en lagringsplats med indikatorer och visningslistor.
Kommentar
Några av Sentinel-Anslut orerna matar in aviseringar direkt.
Tabellen nedan är microsoft Sentinel-funktionsrelaterade tabeller.
| Register | beskrivning |
|---|---|
| SecurityAlert | Innehåller aviseringar som genererats från Sentinel-analysregler. Den kan också innehålla aviseringar som skapats direkt från en Sentinel-data Anslut eller |
| SecurityIncident | Aviseringar kan generera incidenter. Incidenter är relaterade till aviseringar. |
| ThreatIntelligenceIndicator | Innehåller inmatade indikatorer för användarskapade eller dataanslutningsappar, till exempel filhashvärden, IP-adresser, domäner |
| Övervakningslista | En Microsoft Sentinel-bevakningslista innehåller importerade data. |