Azure Sentinel会收集储存在资料表中的记录资料。Azure Sentinel中的[记录]
页面有着能使用Kusto查询语言(KQL)来建立和检视查询结果的使用者介面。
KQL是用於对资料执行分析的查询语言,可建立分析、活页簿,并在Azure Sentinel中执行搜寻。
Azure Sentinel具有分析规则,将会藉由查询纪录分析中的资料表来产生警示和事件。
管理警示和事件的主要资料表为安全性警示和安全性事件。
Azure Sentinel 能产出资料表做为指标和关注清单的存放库。
| 资料表 | 描述 |
|---|---|
| SecurityAlert | 包含由 Sentinel 分析规则所产生的警示。 此外,它也包含了直接从 Sentinel 资料连接器建立的警示 |
| SecurityIncident | 警示可能会产生事件。 事件与警示相关。 |
| ThreatIntelligenceIndicator | 它包含了使用者所建立或资料连接器内嵌的指标,例如档案杂凑、IP 位址、网域等 |
| 关注清单 | Azure Sentinel的关注清单包含了汇入的资料。 |
当 Sentinel 从资料连接器内嵌资料时,下表会列出最常使用的资料表。
了解通用资料表
| 资料表 | 描述 |
|---|---|
| AzureActivity | Azure 活动记录中的项目可针对在 Azure 中发生的任何订用帐户层级或管理群组层级事件,提供深入解析。 |
| AzureDiagnostics | 储存使用Azure 诊断模式的 Azure 服务资源记录。 资源记录会描述 Azure 资源的内部作业。 |
| AuditLogs | Azure Active Directory 稽核记录。 提供使用者与群组管理、受控应用程序及目录活动的相关系统活动资讯。 |
| CommonSecurityLog | Syslog 讯息使用的是常见事件格式 (CEF)。 |
| McasShadowItReporting | Microsoft Cloud App Security 记录 |
| OfficeActivity | Azure Sentinel 所收集的 Office 365 租用户稽核记录。 包括 Exchange、SharePoint 和 Teams 记录。 |
| SecurityEvent | Azure 资讯安全中心或 Azure Sentinel 从 Windows 电脑收集的安全性事件 |
| SigninLogs | Azure Activity Directory 登入记录 |
| syslog | Linux 电脑上使用记录分析代理程序的 Syslog 事件。 |
| 事件 | 从 Windows 主机上收集的 Sysmon 事件。 |
| WindowsFirewall | Windows 防火墙事件 |
<<: 【程序】专业主义 转生成恶役菜鸟工程师避免 Bad End 的 30 件事 - 24
>>: 【PHP Telegram Bot】Day28 - 防雷机器人(2):储存与查看原始讯息
前篇提到Samatha的运作原理与可能使用的AWS服务,今天续提她与Theodore在工作使用系统上...
想不到吧~加法还可以写第二篇 延续昨天相加:{}+{},{}+[],[]+{},[]+[] 到底是什...
Hello, 各位 iT邦帮忙 的粉丝们大家好~~~ 本篇是 Re: 从零开始用 Xamarin 技...
「鲑鱼均,因为一场鲑鱼之乱被主管称为鲑鱼世代,广义来说以年龄和脸蛋分类的话这应该算是一种 KNN 的...