Azure Sentinel會收集儲存在資料表中的記錄資料。Azure Sentinel中的[記錄]
頁面有著能使用Kusto查詢語言(KQL)來建立和檢視查詢結果的使用者介面。
KQL是用於對資料執行分析的查詢語言,可建立分析、活頁簿,並在Azure Sentinel中執行搜尋。
Azure Sentinel具有分析規則,將會藉由查詢紀錄分析中的資料表來產生警示和事件。
管理警示和事件的主要資料表為安全性警示和安全性事件。
Azure Sentinel 能產出資料表做為指標和關注清單的存放庫。
| 資料表 | 描述 |
|---|---|
| SecurityAlert | 包含由 Sentinel 分析規則所產生的警示。 此外,它也包含了直接從 Sentinel 資料連接器建立的警示 |
| SecurityIncident | 警示可能會產生事件。 事件與警示相關。 |
| ThreatIntelligenceIndicator | 它包含了使用者所建立或資料連接器內嵌的指標,例如檔案雜湊、IP 位址、網域等 |
| 關注清單 | Azure Sentinel的關注清單包含了匯入的資料。 |
當 Sentinel 從資料連接器內嵌資料時,下表會列出最常使用的資料表。
瞭解通用資料表
| 資料表 | 描述 |
|---|---|
| AzureActivity | Azure 活動記錄中的項目可針對在 Azure 中發生的任何訂用帳戶層級或管理群組層級事件,提供深入解析。 |
| AzureDiagnostics | 儲存使用Azure 診斷模式的 Azure 服務資源記錄。 資源記錄會描述 Azure 資源的內部作業。 |
| AuditLogs | Azure Active Directory 稽核記錄。 提供使用者與群組管理、受控應用程式及目錄活動的相關系統活動資訊。 |
| CommonSecurityLog | Syslog 訊息使用的是常見事件格式 (CEF)。 |
| McasShadowItReporting | Microsoft Cloud App Security 記錄 |
| OfficeActivity | Azure Sentinel 所收集的 Office 365 租用戶稽核記錄。 包括 Exchange、SharePoint 和 Teams 記錄。 |
| SecurityEvent | Azure 資訊安全中心或 Azure Sentinel 從 Windows 電腦收集的安全性事件 |
| SigninLogs | Azure Activity Directory 登入記錄 |
| syslog | Linux 電腦上使用記錄分析代理程式的 Syslog 事件。 |
| 事件 | 從 Windows 主機上收集的 Sysmon 事件。 |
| WindowsFirewall | Windows 防火牆事件 |
iThome鐵人賽
看影片追技術