Microsoft Sentinel的Query logs

Microsoft Sentinel 會收集儲存在tables中的日誌資料。 Microsoft Sentinel 中的日誌頁面提供了一個使用者介面，用於使用KQL建立和檢視查詢結果。 KQL 是一種查詢語言，用於執行資料分析以建立分析、workbooks並使用 Microsoft Sentinel 執行搜尋。

KQL 是一種用於查詢 Log Analytics 工作區中日誌資料的語言。在 Microsoft Sentinel 中，「日誌」頁面提供對查詢視窗的存取。查詢視窗可執行查詢、儲存查詢、執行已儲存的查詢、建立新的告警規則和匯出。左側提供tables和相關表格欄位的清單。

Sentinel tables

Microsoft Sentinel 具有分析規則，將根據查詢 Log Analytics 中的tables產生告警和事故(Incident)。管理告警和事故的primary tables是 SecurityAlert 和 SecurityIncident。 Microsoft Sentinel 提供tables作為指標和監視清單的儲存庫。以下是 Microsoft Sentinel 功能相關表。

Understand common tables

當 Sentinel 從Data Connectors取得資料時，下表列出了最常用的tables。

• AzureActivity
  Azure 活動日誌中的項目，可深入了解 Azure 中發生的任何訂閱等級或管理群組層級事件。
• AzureDiagnostics
  儲存使用 Azure 診斷模式的 Azure 服務的資源記錄。資源日誌描述 Azure 資源的內部運作。
• AuditLogs
  Microsoft Entra ID 的審核日誌。包括有關使用者和群組管理、託管應用程式和目錄活動的系統活動資訊。
• CommonSecurityLog
  使用CEF(Common Event Format) 的系統日誌訊息。
• McasShadowItReporting
  Microsoft Defender for Cloud Apps logs
• OfficeActivity
  Microsoft Sentinel 收集的 Office 365 tenant的稽核日誌。包括 Exchange、SharePoint 和 Teams 日誌。
• SecurityEvent
  Azure Security Center或 Microsoft Sentinel 從 Windows 電腦收集的安全性事件
• SigninLogs
  Azure Activity Directory Sign-in logs
• Syslog
  使用 Log Analytics agent的 Linux 電腦上的系統日誌事件。
• Event
  從 Windows 主機收集的 Sysmon 事件。
• WindowsFirewall
  Windows Firewall Events

Microsoft Defender XDR tables

Microsoft Defender XDR Sentinel Data Connector可使用從 Microsoft Defender XDR 解決方案收集raw data的tables。

• AlertEvidence
  與告警關聯的檔案、IP 位址、URL、使用者或設備
• CloudAppEvents
  涉及 Office 365 和其他雲端應用程式和服務中的帳號和物件(object)的事件
• DeviceEvents
  多種事件類型，包括由 Windows DefendeAntivirus and exploit protection等安全控制觸發的事件
• DeviceFileCertificateInfo
  從端點上的憑證驗證事件取得的簽署檔案的憑證資訊
• DeviceFileEvents
  檔案建立、修改和其他檔案系統事件
• DeviceImageLoadEvents
  DLL載入事件
• DeviceInfo
  機器資訊，包括作業系統資訊
• DeviceLogonEvents
  裝置上的登入和其他身份驗證事件
• DeviceNetworkEvents
  網路連線及相關事件
• DeviceNetworkInfo
  設備的網路屬性，包括實體網路設備、IP 和 MAC 位址以及連接的網路和網域
• DeviceProcessEvents
  Process建立和相關事件
• DeviceRegistryEvents
  註冊表項的建立和修改
• EmailEvents
  Microsoft 365 電子郵件事件，包括電子郵件傳遞和封鎖事件
• EmailPostDeliveryEvents
  Microsoft 365 將電子郵件傳送到收件者信箱後發生的傳送後安全事件
• EmailUrlInfo
  有關電子郵件中 URL 的資訊
• EmailAttachmentInfo
  有關附加到 Office 365 電子郵件的文件的資訊
• IdentityDirectoryEvents
  涉及運行 Active Directory (AD) 的on-premises domain controller的table。這個table涵蓋了domain controller上一系列與Identity相關的事件和系統事件。
• IdentityLogonEvents
  Active Directory 和 Microsoft online services上的驗證事件
• IdentityQueryEvents
  查詢 Active Directory 物件，例如使用者、群組、裝置和網域