Présentation des tables Microsoft Sentinel
Microsoft Azure Sentinel contient des règles d’analyse qui génèrent des alertes et des incidents en fonction de l’interrogation des tables dans Log Analytics. Les tables principales pour gérer les alertes et les incidents sont SecurityAlert et SecurityIncident. Microsoft Azure Sentinel fournit des tables qui constituent un référentiel d’indicateurs et de listes de surveillance.
Notes
Certains connecteurs de données Sentinel ingéreront les alertes directement.
Le tableau ci-dessous répertorie les tables associées aux fonctionnalités de Microsoft Azure Sentinel.
| Table de charge de travail | Description |
|---|---|
| SecurityAlert | Contient les alertes générées par les règles d’analyse Sentinel. En outre, il peut inclure des alertes créées directement à partir d’un connecteur de données Sentinel |
| SecurityIncident | Les alertes peuvent générer des incidents. Les incidents sont liés à une ou plusieurs alertes. |
| ThreatIntelligenceIndicator | Contient des indicateurs créés par l’utilisateur ou ingérés par des connecteurs de données, tels que les hachages de fichiers, les adresses IP et les domaines |
| Liste de surveillance | Une watchlist Microsoft Azure Sentinel contient des données importées. |