了解常用表
当 Sentinel 引入数据连接器中的数据时,下表列出了最常用的表。
| 表 | 说明 |
|---|---|
| AzureActivity | Azure 活动日志中的条目,可用于深入了解 Azure 中发生的任何订阅级别或管理组级别事件。 |
| AzureDiagnostics | 存储使用 Azure 诊断模式的 Azure 服务的资源日志。 资源日志描述 Azure 资源的内部操作。 |
| AuditLogs | Microsoft Entra ID 的审核日志。 包括有关用户和组管理、托管应用程序和目录活动的系统活动信息。 |
| CommonSecurityLog | 使用通用事件格式 (CEF) 的系统日志消息。 |
| McasShadowItReporting | Microsoft Defender for Cloud Apps 日志 |
| OfficeActivity | Microsoft Sentinel 收集的 Office 365 租户的审核日志。 包括 Exchange、SharePoint 和 Teams 日志。 |
| SecurityEvent | Azure 安全中心或 Microsoft Sentinel 从 Windows 计算机收集的安全事件 |
| SigninLogs | Azure Active Directory 登录日志 |
| Syslog | 使用 Log Analytics 代理的 Linux 计算机上的系统日志事件。 |
| Event | 从 Windows 主机收集的 Sysmon 事件。 |
| WindowsFirewall | Windows 防火墙事件 |