Incidents - List Entities
Získá všechny entity pro incident.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/entities?api-version=2024-03-01
Parametry identifikátoru URI
Name | V | Vyžadováno | Typ | Description |
---|---|---|---|---|
incident
|
path | True |
string |
ID incidentu |
resource
|
path | True |
string |
Název skupiny prostředků. V názvu se rozlišují malá a velká písmena. |
subscription
|
path | True |
string uuid |
ID cílového předplatného. Hodnota musí být UUID. |
workspace
|
path | True |
string |
Název pracovního prostoru. Vzor regulárního výrazu: |
api-version
|
query | True |
string |
Verze rozhraní API, která se má použít pro tuto operaci. |
Odpovědi
Name | Typ | Description |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Chybová odpověď popisující, proč operace selhala. |
Zabezpečení
azure_auth
Tok Azure Active Directory OAuth2
Typ:
oauth2
Tok:
implicit
URL autorizace:
https://login.microsoftonline.com/common/oauth2/authorize
Rozsahy
Name | Description |
---|---|
user_impersonation | zosobnění uživatelského účtu |
Příklady
Gets all incident related entities
Ukázkový požadavek
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/entities?api-version=2024-03-01
Ukázková odpověď
{
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
],
"metaData": [
{
"entityKind": "Account",
"count": 1
}
]
}
Definice
Name | Description |
---|---|
Account |
Představuje entitu účtu. |
Alert |
Závažnost výstrahy |
Alert |
Stav životního cyklu výstrahy. |
Antispam |
Směrovost této e-mailové zprávy |
Attack |
Závažnost výstrah vytvořených tímto pravidlem upozornění |
Azure |
Představuje entitu prostředku Azure. |
Cloud |
Představuje entitu cloudové aplikace. |
Cloud |
Struktura odpovědí na chyby. |
Cloud |
Podrobnosti o chybě. |
Confidence |
Úroveň spolehlivosti této výstrahy. |
Confidence |
Důvody spolehlivosti |
Confidence |
Stav výpočtu skóre spolehlivosti, tj. indikující, jestli výpočet skóre čeká na tuto výstrahu, není použitelný nebo konečný. |
created |
Typ identity, která vytvořila prostředek. |
Delivery |
Akce doručení této e-mailové zprávy, jako je Doručeno, Blokováno, Nahrazeno atd. |
Delivery |
Umístění doručení této e-mailové zprávy, jako je Doručená pošta, Nevyžádaná pošta atd. |
Dns |
Představuje entitu DNS. |
Elevation |
Token zvýšení oprávnění přidružený k procesu |
Entity |
Druh agregované entity. |
File |
Představuje entitu souboru. |
File |
Typ hashovacího algoritmu. |
File |
Představuje entitu hodnoty hash souboru. |
Geo |
Kontext geografického umístění připojený k entitě IP |
Host |
Představuje entitu hostitele. |
Hunting |
Představuje entitu záložky proaktivního vyhledávání. |
Incident |
Entity související s incidenty reagují. |
Incident |
Informace o konkrétní agregaci ve výsledku entit souvisejících s incidenty |
Incident |
Popisuje související informace o incidentu pro záložku. |
Incident |
Závažnost incidentu |
Io |
Představuje entitu zařízení IoT. |
Ip |
Představuje entitu IP. |
Kill |
Obsahuje mapování fází záměru upozornění pro tuto výstrahu. |
Mailbox |
Představuje entitu poštovní schránky. |
Mail |
Představuje entitu poštovního clusteru. |
Mail |
Představuje entitu e-mailové zprávy. |
Malware |
Představuje entitu malwaru. |
OSFamily |
Typ operačního systému. |
Process |
Představuje entitu procesu. |
Registry |
hive, který obsahuje klíč registru. |
Registry |
Představuje entitu klíče registru. |
Registry |
Představuje entitu hodnoty registru. |
Registry |
Určuje datové typy, které se mají použít při ukládání hodnot v registru, nebo identifikuje datový typ hodnoty v registru. |
Security |
Představuje entitu výstrahy zabezpečení. |
Security |
Představuje entitu skupiny zabezpečení. |
Submission |
Představuje entitu odesílané pošty. |
system |
Metadata týkající se vytvoření a poslední změny prostředku |
Threat |
Taška vlastností ThreatIntelligence. |
Url |
Představuje entitu adresy URL. |
User |
Informace o uživateli, které provedly nějakou akci |
AccountEntity
Představuje entitu účtu.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Account |
Druh entity. |
name |
string |
Název prostředku |
properties.aadTenantId |
string |
ID tenanta Azure Active Directory. |
properties.aadUserId |
string |
ID uživatele Azure Active Directory. |
properties.accountName |
string |
Název účtu. Toto pole by mělo obsahovat jenom název, do něhož není přidaná žádná doména, tj. správce. |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.displayName |
string |
Zobrazovaný název účtu |
properties.dnsDomain |
string |
Plně kvalifikovaný název DNS domény. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hostEntityId |
string |
ID entity hostitele, která obsahuje účet v případě, že se jedná o místní účet (není připojený k doméně) |
properties.isDomainJoined |
boolean |
Určuje, zda se jedná o účet domény. |
properties.ntDomain |
string |
Název domény pro rozhraní NetBIOS ve formátu upozornění – doména\uživatelské_jméno. Příklady: NT AUTHORITY. |
properties.objectGuid |
string |
Atribut objectGUID je atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeným službou Active Directory. |
properties.puid |
string |
ID uživatele služby Azure Active Directory Passport. |
properties.sid |
string |
Identifikátor zabezpečení účtu, například S-1-5-18. |
properties.upnSuffix |
string |
Přípona hlavního názvu uživatele pro účet, v některých případech je to také název domény. Příklady: contoso.com. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
AlertSeverity
Závažnost výstrahy
Name | Typ | Description |
---|---|---|
High |
string |
Vysoká závažnost |
Informational |
string |
Informační závažnost |
Low |
string |
Nízká závažnost |
Medium |
string |
Střední závažnost |
AlertStatus
Stav životního cyklu výstrahy.
Name | Typ | Description |
---|---|---|
Dismissed |
string |
Výstraha se zavřela jako falešně pozitivní |
InProgress |
string |
Probíhá zpracování upozornění |
New |
string |
Nová výstrahy |
Resolved |
string |
Výstraha se po zpracování zavřela. |
Unknown |
string |
Neznámá hodnota |
AntispamMailDirection
Směrovost této e-mailové zprávy
Name | Typ | Description |
---|---|---|
Inbound |
string |
Příchozí |
Intraorg |
string |
Intraorg |
Outbound |
string |
Odchozí |
Unknown |
string |
Neznámý |
AttackTactic
Závažnost výstrah vytvořených tímto pravidlem upozornění
Name | Typ | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
AzureResourceEntity
Představuje entitu prostředku Azure.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Azure |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.resourceId |
string |
ID prostředku Azure |
properties.subscriptionId |
string |
ID předplatného prostředku |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
CloudApplicationEntity
Představuje entitu cloudové aplikace.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Cloud |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.appId |
integer |
Technický identifikátor aplikace. |
properties.appName |
string |
Název související cloudové aplikace. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.instanceName |
string |
Název instance cloudové aplikace definovaný uživatelem. Často se používá k rozlišení mezi několika aplikacemi stejného typu, které má zákazník. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
CloudError
Struktura odpovědí na chyby.
Name | Typ | Description |
---|---|---|
error |
Data o chybách |
CloudErrorBody
Podrobnosti o chybě.
Name | Typ | Description |
---|---|---|
code |
string |
Identifikátor chyby. Kódy jsou neutrální a mají být využívány programově. |
message |
string |
Zpráva popisující chybu, která má být vhodná k zobrazení v uživatelském rozhraní. |
ConfidenceLevel
Úroveň spolehlivosti této výstrahy.
Name | Typ | Description |
---|---|---|
High |
string |
Vysoká jistota, že výstraha je skutečně pozitivní a škodlivá |
Low |
string |
Nízká spolehlivost, což znamená, že máme určité pochybnosti, že se jedná o škodlivý útok nebo o součást útoku. |
Unknown |
string |
Neznámá spolehlivost, je výchozí hodnota |
ConfidenceReasons
Důvody spolehlivosti
Name | Typ | Description |
---|---|---|
reason |
string |
Popis důvodu |
reasonType |
string |
Typ (kategorie) důvodu |
ConfidenceScoreStatus
Stav výpočtu skóre spolehlivosti, tj. indikující, jestli výpočet skóre čeká na tuto výstrahu, není použitelný nebo konečný.
Name | Typ | Description |
---|---|---|
Final |
string |
Konečné skóre bylo vypočteno a k dispozici |
InProcess |
string |
Zatím nebylo nastaveno žádné skóre a probíhá výpočet. |
NotApplicable |
string |
Skóre se pro tuto výstrahu nebude počítat, protože ho virtuální analytik nepodporuje. |
NotFinal |
string |
Skóre se počítá a zobrazuje jako součást výstrahy, ale po zpracování dalších dat se může později znovu aktualizovat. |
createdByType
Typ identity, která vytvořila prostředek.
Name | Typ | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
DeliveryAction
Akce doručení této e-mailové zprávy, jako je Doručeno, Blokováno, Nahrazeno atd.
Name | Typ | Description |
---|---|---|
Blocked |
string |
Blokované |
Delivered |
string |
Doručeno |
DeliveredAsSpam |
string |
DeliveredAsSpam |
Replaced |
string |
Nahrazen |
Unknown |
string |
Neznámý |
DeliveryLocation
Umístění doručení této e-mailové zprávy, jako je Doručená pošta, Nevyžádaná pošta atd.
Name | Typ | Description |
---|---|---|
DeletedFolder |
string |
Odstraněnýfolder |
Dropped |
string |
Klesl |
External |
string |
Externí |
Failed |
string |
Neúspěšný |
Forwarded |
string |
Předány |
Inbox |
string |
Doručená pošta |
JunkFolder |
string |
JunkFolder |
Quarantine |
string |
Karanténa |
Unknown |
string |
Neznámý |
DnsEntity
Představuje entitu DNS.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Dns |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.dnsServerIpEntityId |
string |
ID entity IP pro server DNS, který požadavek překládá |
properties.domainName |
string |
Název záznamu DNS přidruženého k upozornění |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hostIpAddressEntityId |
string |
ID entity IP pro klienta požadavků DNS |
properties.ipAddressEntityIds |
string[] |
Identifikátory entit IP pro přeloženou IP adresu. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
ElevationToken
Token zvýšení oprávnění přidružený k procesu
Name | Typ | Description |
---|---|---|
Default |
string |
Výchozí token zvýšení oprávnění |
Full |
string |
Úplný token zvýšení oprávnění |
Limited |
string |
Token omezeného zvýšení oprávnění |
EntityKindEnum
Druh agregované entity.
Name | Typ | Description |
---|---|---|
Account |
string |
Entita představuje účet v systému. |
AzureResource |
string |
Entita představuje prostředek Azure v systému. |
Bookmark |
string |
Entita představuje záložku v systému. |
CloudApplication |
string |
Entita představuje cloudovou aplikaci v systému. |
DnsResolution |
string |
Entita představuje překlad DNS v systému. |
File |
string |
Entita představuje soubor v systému. |
FileHash |
string |
Entita představuje hodnotu hash souboru v systému. |
Host |
string |
Entita představuje hostitele v systému. |
IoTDevice |
string |
Entita představuje zařízení IoT v systému. |
Ip |
string |
Entita představuje IP adresu v systému. |
MailCluster |
string |
Entita představuje poštovní cluster v systému. |
MailMessage |
string |
Entita představuje e-mailovou zprávu v systému. |
Mailbox |
string |
Entita představuje poštovní schránku v systému. |
Malware |
string |
Entita představuje malware v systému. |
Process |
string |
Entita představuje proces v systému. |
RegistryKey |
string |
Entita představuje klíč registru v systému. |
RegistryValue |
string |
Entita představuje hodnotu registru v systému. |
SecurityAlert |
string |
Entita představuje výstrahu zabezpečení v systému. |
SecurityGroup |
string |
Entita představuje skupinu zabezpečení v systému. |
SubmissionMail |
string |
Entita představuje odesílanou poštu v systému. |
Url |
string |
Entita představuje adresu URL v systému. |
FileEntity
Představuje entitu souboru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
File |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.directory |
string |
Úplná cesta k souboru. |
properties.fileHashEntityIds |
string[] |
Identifikátory entity hodnoty hash souboru přidružené k tomuto souboru |
properties.fileName |
string |
Název souboru bez cesty (některá upozornění nemusí obsahovat cestu). |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hostEntityId |
string |
ID entity hostitele, ke které soubor patří |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
FileHashAlgorithm
Typ hashovacího algoritmu.
Name | Typ | Description |
---|---|---|
MD5 |
string |
Typ hodnoty hash MD5 |
SHA1 |
string |
Typ hodnoty hash SHA1 |
SHA256 |
string |
Typ hodnoty hash SHA256 |
SHA256AC |
string |
SHA256 Typ hodnoty hash Authenticode |
Unknown |
string |
Neznámý hashovací algoritmus |
FileHashEntity
Představuje entitu hodnoty hash souboru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
File |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.algorithm |
Typ hashovací algoritmu. |
|
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hashValue |
string |
Hodnota hash souboru. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
GeoLocation
Kontext geografického umístění připojený k entitě IP
Name | Typ | Description |
---|---|---|
asn |
integer |
Číslo autonomního systému |
city |
string |
Název města |
countryCode |
string |
Kód země podle formátu ISO 3166 |
countryName |
string |
Název země podle ISO 3166 Alpha 2: malá písmena anglického krátkého názvu |
latitude |
number |
Zeměpisná délka identifikovaného umístění vyjádřená jako číslo s plovoucí desetinou čárkou s rozsahem -180 až 180, přičemž kladná čísla představují východ a záporná čísla představující západ. Zeměpisná šířka a zeměpisná délka jsou odvozené od města nebo PSČ. |
longitude |
number |
Zeměpisná šířka určeného místa vyjádřená jako číslo s plovoucí desetinou čárkou s rozsahem od - 90 do 90, s kladnými čísly představujícími sever a zápornými čísly představujícími jih. Zeměpisná šířka a zeměpisná délka jsou odvozené od města nebo PSČ. |
state |
string |
Název státu |
HostEntity
Představuje entitu hostitele.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Host |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.azureID |
string |
ID prostředku Azure virtuálního počítače. |
properties.dnsDomain |
string |
Doména DNS, do které tento hostitel patří. Měla by obsahovat konkurenční příponu DNS pro doménu. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hostName |
string |
Název hostitele bez přípony domény. |
properties.isDomainJoined |
boolean |
Určuje, zda tento hostitel patří do domény. |
properties.netBiosName |
string |
Název hostitele (před windows2000). |
properties.ntDomain |
string |
Doména NT, do které tento hostitel patří. |
properties.omsAgentID |
string |
ID agenta OMS, pokud má hostitel nainstalovaného agenta OMS. |
properties.osFamily |
Typ operačního systému. |
|
properties.osVersion |
string |
Reprezentace operačního systému s volným textem. Toto pole je určeno pro konkrétní verze, které jsou jemněji odstupňované než hodnoty OSFamily nebo budoucí hodnoty, které výčet OSFamily nepodporuje. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
HuntingBookmark
Představuje entitu záložky proaktivního vyhledávání.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Bookmark |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.created |
string |
Čas vytvoření záložky |
properties.createdBy |
Popisuje uživatele, který záložku vytvořil. |
|
properties.displayName |
string |
Zobrazovaný název záložky |
properties.eventTime |
string |
Čas události |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.incidentInfo |
Popisuje incident, který souvisí se záložkou. |
|
properties.labels |
string[] |
Seznam popisků relevantních pro tuto záložku |
properties.notes |
string |
Poznámky záložky |
properties.query |
string |
Dotaz záložky. |
properties.queryResult |
string |
Výsledek dotazu záložky. |
properties.updated |
string |
Čas poslední aktualizace záložky |
properties.updatedBy |
Popisuje uživatele, který záložku aktualizoval. |
|
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
IncidentEntitiesResponse
Entity související s incidenty reagují.
Name | Typ | Description |
---|---|---|
entities |
Entity[]:
|
Pole entit souvisejících s incidenty |
metaData |
Výsledky metadat z entit souvisejících s incidenty |
IncidentEntitiesResultsMetadata
Informace o konkrétní agregaci ve výsledku entit souvisejících s incidenty
Name | Typ | Description |
---|---|---|
count |
integer |
Celkový počet agregací daného typu ve výsledku entit souvisejících s incidenty |
entityKind |
Druh agregované entity. |
IncidentInfo
Popisuje související informace o incidentu pro záložku.
Name | Typ | Description |
---|---|---|
incidentId |
string |
ID incidentu |
relationName |
string |
Název relace |
severity |
Závažnost incidentu |
|
title |
string |
Název incidentu |
IncidentSeverity
Závažnost incidentu
Name | Typ | Description |
---|---|---|
High |
string |
Vysoká závažnost |
Informational |
string |
Informační závažnost |
Low |
string |
Nízká závažnost |
Medium |
string |
Střední závažnost |
IoTDeviceEntity
Představuje entitu zařízení IoT.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Io |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.deviceId |
string |
ID zařízení IoT v IoT Hub |
properties.deviceName |
string |
Popisný název zařízení |
properties.deviceType |
string |
Typ zařízení |
properties.edgeId |
string |
ID hraničního zařízení |
properties.firmwareVersion |
string |
Verze firmwaru zařízení |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.hostEntityId |
string |
ID entity hostitele tohoto zařízení |
properties.iotHubEntityId |
string |
ID entity AzureResource IoT Hub |
properties.iotSecurityAgentId |
string |
ID agenta zabezpečení spuštěného na zařízení |
properties.ipAddressEntityId |
string |
Entita IP adresy tohoto zařízení |
properties.macAddress |
string |
Adresa MAC zařízení |
properties.model |
string |
Model zařízení |
properties.operatingSystem |
string |
Operační systém zařízení |
properties.protocols |
string[] |
Seznam protokolů entity IoTDevice. |
properties.serialNumber |
string |
Sériové číslo zařízení |
properties.source |
string |
Zdroj zařízení |
properties.threatIntelligence |
Seznam kontextů TI připojených k entitě IoTDevice. |
|
properties.vendor |
string |
Dodavatel zařízení |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
IpEntity
Představuje entitu IP.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Ip |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.address |
string |
IP adresa jako řetězec, například 127.0.0.1 (v IPv4 nebo IPv6) |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.location |
Kontext geografického umístění připojený k entitě IP |
|
properties.threatIntelligence |
Seznam kontextů TI připojených k entitě IP. |
|
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
KillChainIntent
Obsahuje mapování fází záměru upozornění pro tuto výstrahu.
Name | Typ | Description |
---|---|---|
Collection |
string |
Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie také zahrnuje umístění v systému nebo síti, kde může nežádoucí osoba hledat informace, které by se mohly vyfiltrovat. |
CommandAndControl |
string |
Taktika velení a řízení představuje způsob, jakým nežádoucí osoba komunikuje se systémy pod jejich kontrolou v rámci cílové sítě. |
CredentialAccess |
string |
Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systémovým, doméně nebo přihlašovacím údajům služby nebo k jejich řízení, které se používají v podnikovém prostředí. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místního správce systému nebo uživatelů domény s přístupem správce), které budou používat v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvořit účty pro pozdější použití v rámci prostředí. |
DefenseEvasion |
string |
Únik v obraně se skládá z technik, které může nežádoucí osoba použít k tomu, aby se vyhnula detekci nebo se vyhnula jiné obraně. Někdy jsou tyto akce stejné jako nebo varianty technik v jiných kategoriích, které mají další výhodu v podvracení konkrétní obrany nebo zmírnění rizik. |
Discovery |
string |
Zjišťování se skládá z technik, které umožňují nežádoucímu uživateli získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se orientovat na to, co teď má pod kontrolou a jaké výhody, které provoz z tohoto systému poskytuje jejich aktuálnímu cíli nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení. |
Execution |
string |
Taktika provádění představuje techniky, které vedou ke spuštění nežádoucího kódu v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti. |
Exfiltration |
string |
Exfiltrace označuje techniky a atributy, které mají za následek nebo pomáhají nežádoucímu odebrání souborů a informací z cílové sítě. Tato kategorie také zahrnuje umístění v systému nebo síti, kde může nežádoucí osoba hledat informace, které by se mohly vyfiltrovat. |
Exploitation |
string |
Zneužití je fáze, ve které se útočníkovi podaří získat oporu v napadeném prostředku. Tato fáze se vztahuje nejen na výpočetní hostitele, ale také na prostředky, jako jsou uživatelské účty, certifikáty atd. Nežádoucí uživatelé budou mít často možnost řídit prostředek po této fázi. |
Impact |
string |
Primárním cílem záměru dopadu je přímo snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty s cílem ovlivnit obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je výkupné, defacementování, manipulace s daty a další. |
LateralMovement |
string |
Laterální pohyb se skládá z technik, které umožňují nežádoucímu člověku přistupovat ke vzdáleným systémům v síti a řídit je a které by mohly, ale nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. Techniky laterálního přesunu by mohly umožnit nežádoucímu uživateli shromažďovat informace ze systému bez nutnosti dalších nástrojů, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může laterální pohyb používat k mnoha účelům, včetně vzdáleného spouštění nástrojů, přepínání do dalších systémů, přístupu ke konkrétním informacím nebo souborům, přístupu k dalším přihlašovacím údajům nebo k ovlivnění. |
Persistence |
string |
Trvalost je jakákoli změna přístupu, akce nebo konfigurace systému, která nežádoucímu tomuto systému trvale poskytne přítomnost. Nežádoucí uživatelé si často budou muset zachovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by vyžadovala restartování nástroje vzdáleného přístupu nebo alternativní zadní vrátka, aby mohli znovu získat přístup. |
PrivilegeEscalation |
string |
Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění, aby fungovaly, a jsou pravděpodobně nezbytné v mnoha bodech operace. Uživatelské účty s oprávněními k přístupu ke konkrétním systémům nebo provádění určitých funkcí nezbytných k dosažení cíle nežádoucích uživatelů mohou být také považovány za eskalaci oprávnění. |
Probing |
string |
Sondování může být pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus pocházející z oblasti mimo síť ve snaze prohledat cílový systém a najít cestu. |
Unknown |
string |
Výchozí hodnota. |
MailboxEntity
Představuje entitu poštovní schránky.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Mailbox |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.displayName |
string |
Zobrazovaný název poštovní schránky |
properties.externalDirectoryObjectId |
string |
Identifikátor AzureAD poštovní schránky. Podobá se AadUserId v entitě účtu, ale tato vlastnost je specifická pro objekt poštovní schránky na straně Office. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.mailboxPrimaryAddress |
string |
Primární adresa poštovní schránky |
properties.upn |
string |
Hlavní název uživatele (UPN) poštovní schránky |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
MailClusterEntity
Představuje entitu poštovního clusteru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind |
string:
Mail |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.clusterGroup |
string |
Skupina clusterů |
properties.clusterQueryEndTime |
string |
Koncový čas dotazu na cluster |
properties.clusterQueryStartTime |
string |
Čas spuštění dotazu clusteru |
properties.clusterSourceIdentifier |
string |
ID zdroje clusteru |
properties.clusterSourceType |
string |
Typ zdroje clusteru |
properties.countByDeliveryStatus |
object |
Count of mail messages by DeliveryStatus string representation |
properties.countByProtectionStatus |
object |
Count of mail messages by ProtectionStatus string representation |
properties.countByThreatType |
object |
Count of mail messages by ThreatType string representation |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.isVolumeAnomaly |
boolean |
Jedná se o anomálii svazků poštovního clusteru? |
properties.mailCount |
integer |
Počet e-mailových zpráv, které jsou součástí poštovního clusteru |
properties.networkMessageIds |
string[] |
ID e-mailových zpráv, které jsou součástí poštovního clusteru |
properties.query |
string |
Dotaz použitý k identifikaci zpráv poštovního clusteru |
properties.queryTime |
string |
Čas dotazu |
properties.source |
string |
Zdroj poštovního clusteru (výchozí hodnota je O365 ATP) |
properties.threats |
string[] |
Hrozby poštovních zpráv, které jsou součástí poštovního clusteru |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
MailMessageEntity
Představuje entitu e-mailové zprávy.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Mail |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.antispamDirection |
Směrovost této e-mailové zprávy |
|
properties.bodyFingerprintBin1 |
integer |
The bodyFingerprintBin1 |
properties.bodyFingerprintBin2 |
integer |
The bodyFingerprintBin2 |
properties.bodyFingerprintBin3 |
integer |
The bodyFingerprintBin3 |
properties.bodyFingerprintBin4 |
integer |
The bodyFingerprintBin4 |
properties.bodyFingerprintBin5 |
integer |
The bodyFingerprintBin5 |
properties.deliveryAction |
Akce doručení této e-mailové zprávy, například Doručeno, Blokováno, Nahrazeno atd. |
|
properties.deliveryLocation |
Umístění doručení této e-mailové zprávy, jako je Doručená pošta, Nevyžádaná pošta atd. |
|
properties.fileEntityIds |
string[] |
ID entity Soubor příloh této e-mailové zprávy |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.internetMessageId |
string |
ID internetové zprávy této e-mailové zprávy |
properties.language |
string |
Jazyk této e-mailové zprávy |
properties.networkMessageId |
string |
ID síťové zprávy této e-mailové zprávy |
properties.p1Sender |
string |
E-mailová adresa odesílatele p1 |
properties.p1SenderDisplayName |
string |
Zobrazované jméno odesílatele p1 |
properties.p1SenderDomain |
string |
Doména odesílatele p1 |
properties.p2Sender |
string |
E-mailová adresa odesílatele p2 |
properties.p2SenderDisplayName |
string |
Zobrazované jméno odesílatele p2 |
properties.p2SenderDomain |
string |
Doména odesílatele p2 |
properties.receiveDate |
string |
Datum přijetí této zprávy |
properties.recipient |
string |
Příjemce této e-mailové zprávy. Všimněte si, že v případě více příjemců se e-mailová zpráva roz forkuje a každá kopie má jednoho příjemce. |
properties.senderIP |
string |
IP adresa odesílatele |
properties.subject |
string |
Předmět této e-mailové zprávy |
properties.threatDetectionMethods |
string[] |
Metody detekce hrozeb |
properties.threats |
string[] |
Hrozby této e-mailové zprávy |
properties.urls |
string[] |
Adresy URL obsažené v této e-mailové zprávě |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
MalwareEntity
Představuje entitu malwaru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Malware |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.category |
string |
Kategorie malwaru podle dodavatele, například trojan |
properties.fileEntityIds |
string[] |
Seznam identifikátorů propojených entit souborů, na kterých se malware našel |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.malwareName |
string |
Název malwaru od dodavatele, například Win32/Toga!rfn |
properties.processEntityIds |
string[] |
Seznam identifikátorů propojených entit procesu, na kterých byl malware nalezen. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
OSFamily
Typ operačního systému.
Name | Typ | Description |
---|---|---|
Android |
string |
Hostovat s operačním systémem Android. |
IOS |
string |
Hostovat s operačním systémem iOS. |
Linux |
string |
Hostovat s operačním systémem Linux. |
Unknown |
string |
Host s neznámým operačním systémem. |
Windows |
string |
Hostovat s operačním systémem Windows. |
ProcessEntity
Představuje entitu procesu.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Process |
Druh entity. |
name |
string |
Název prostředku |
properties.accountEntityId |
string |
ID entity účtu, která spouští procesy. |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.commandLine |
string |
Příkazový řádek použitý k vytvoření procesu |
properties.creationTimeUtc |
string |
Čas, kdy se proces spustil |
properties.elevationToken |
Token zvýšení oprávnění přidružený k procesu |
|
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.hostEntityId |
string |
ID entity hostitele, na které byl proces spuštěný |
properties.hostLogonSessionEntityId |
string |
ID entity relace, ve které byl proces spuštěný |
properties.imageFileEntityId |
string |
ID entity souboru obrázku |
properties.parentProcessEntityId |
string |
ID entity nadřazeného procesu |
properties.processId |
string |
ID procesu |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
RegistryHive
hive, který obsahuje klíč registru.
Name | Typ | Description |
---|---|---|
HKEY_A |
string |
HKEY_A |
HKEY_CLASSES_ROOT |
string |
HKEY_CLASSES_ROOT |
HKEY_CURRENT_CONFIG |
string |
HKEY_CURRENT_CONFIG |
HKEY_CURRENT_USER |
string |
HKEY_CURRENT_USER |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
string |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
HKEY_LOCAL_MACHINE |
string |
HKEY_LOCAL_MACHINE |
HKEY_PERFORMANCE_DATA |
string |
HKEY_PERFORMANCE_DATA |
HKEY_PERFORMANCE_NLSTEXT |
string |
HKEY_PERFORMANCE_NLSTEXT |
HKEY_PERFORMANCE_TEXT |
string |
HKEY_PERFORMANCE_TEXT |
HKEY_USERS |
string |
HKEY_USERS |
RegistryKeyEntity
Představuje entitu klíče registru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Registry |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.hive |
hive, který obsahuje klíč registru. |
|
properties.key |
string |
Cesta ke klíči registru. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
RegistryValueEntity
Představuje entitu hodnoty registru.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Registry |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.keyEntityId |
string |
ID entity klíče registru |
properties.valueData |
string |
Řetězcová reprezentace dat hodnot. |
properties.valueName |
string |
Název hodnoty registru. |
properties.valueType |
Určuje datové typy, které se mají použít při ukládání hodnot v registru, nebo identifikuje datový typ hodnoty v registru. |
|
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
RegistryValueKind
Určuje datové typy, které se mají použít při ukládání hodnot v registru, nebo identifikuje datový typ hodnoty v registru.
Name | Typ | Description |
---|---|---|
Binary |
string |
Typ binární hodnoty |
DWord |
string |
Typ hodnoty DWord |
ExpandString |
string |
Typ hodnoty ExpandString |
MultiString |
string |
Typ hodnoty MultiString |
None |
string |
Žádné |
QWord |
string |
Typ hodnoty QWord |
String |
string |
Typ hodnoty řetězce |
Unknown |
string |
Neznámý typ hodnoty |
SecurityAlert
Představuje entitu výstrahy zabezpečení.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
kind | string: |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
properties.alertDisplayName |
string |
Zobrazovaný název výstrahy. |
properties.alertLink |
string |
Odkaz URI výstrahy |
properties.alertType |
string |
Název typu výstrahy. |
properties.compromisedEntity |
string |
Zobrazovaný název hlavní entity, u které se sestavuje. |
properties.confidenceLevel |
Úroveň spolehlivosti této výstrahy |
|
properties.confidenceReasons |
Důvody spolehlivosti |
|
properties.confidenceScore |
number |
Skóre spolehlivosti výstrahy. |
properties.confidenceScoreStatus |
Stav výpočtu skóre spolehlivosti, tj. udává, jestli výpočet skóre pro tuto výstrahu čeká, nepoužije se nebo je konečný. |
|
properties.description |
string |
Popis upozornění. |
properties.endTimeUtc |
string |
Koncový čas dopadu upozornění (čas poslední události přispívající k upozornění). |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
properties.intent |
Obsahuje mapování fází záměru upozornění pro toto upozornění. |
|
properties.processingEndTime |
string |
Čas, kdy byla výstraha zpřístupněna pro použití. |
properties.productComponentName |
string |
Název komponenty uvnitř produktu, který výstrahu vygeneroval. |
properties.productName |
string |
Název produktu, který tuto výstrahu publikoval. |
properties.productVersion |
string |
Verze produktu, který výstrahu generuje. |
properties.providerAlertId |
string |
Identifikátor výstrahy uvnitř produktu, který výstrahu vygeneroval. |
properties.remediationSteps |
string[] |
Ruční akce, které se mají provést k nápravě výstrahy. |
properties.resourceIdentifiers |
object[] |
Seznam identifikátorů prostředků výstrahy. |
properties.severity |
Závažnost výstrahy |
|
properties.startTimeUtc |
string |
Počáteční čas dopadu upozornění (čas první události přispívající k upozornění). |
properties.status |
Stav životního cyklu výstrahy. |
|
properties.systemAlertId |
string |
Obsahuje identifikátor produktu výstrahy pro produkt. |
properties.tactics |
Taktika upozornění |
|
properties.timeGenerated |
string |
Čas vygenerování výstrahy |
properties.vendorName |
string |
Název dodavatele, který výstrahu vyvolal. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
SecurityGroupEntity
Představuje entitu skupiny zabezpečení.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Security |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.distinguishedName |
string |
Rozlišující název skupiny |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.objectGuid |
string |
Atribut s jednou hodnotou, který je jedinečným identifikátorem objektu přiřazeného službou Active Directory. |
properties.sid |
string |
Atribut SID je atribut s jednou hodnotou, který určuje identifikátor zabezpečení (SID) skupiny. |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
SubmissionMailEntity
Představuje entitu odesílané pošty.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Submission |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.networkMessageId |
string |
ID síťové zprávy e-mailu, do kterého patří odeslání |
properties.recipient |
string |
Příjemce e-mailu |
properties.reportType |
string |
Typ odeslání pro danou instanci To se mapuje na Nevyžádaná pošta, Phish, Malware nebo NotJunk. |
properties.sender |
string |
Odesílatel e-mailu |
properties.senderIp |
string |
IP adresa odesílatele |
properties.subject |
string |
Předmět e-mailu pro odeslání |
properties.submissionDate |
string |
Datum odeslání |
properties.submissionId |
string |
ID odeslání |
properties.submitter |
string |
Odesílejte |
properties.timestamp |
string |
Časové razítko přijetí zprávy (Pošta) |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
systemData
Metadata týkající se vytvoření a poslední změny prostředku
Name | Typ | Description |
---|---|---|
createdAt |
string |
Časové razítko vytvoření prostředku (UTC) |
createdBy |
string |
Identita, která prostředek vytvořila. |
createdByType |
Typ identity, která vytvořila prostředek. |
|
lastModifiedAt |
string |
Časové razítko poslední změny prostředku (UTC) |
lastModifiedBy |
string |
Identita, která naposledy změnila prostředek. |
lastModifiedByType |
Typ identity, která naposledy změnila prostředek. |
ThreatIntelligence
Taška vlastností ThreatIntelligence.
Name | Typ | Description |
---|---|---|
confidence |
number |
Spolehlivost (musí být mezi 0 a 1) |
providerName |
string |
Název poskytovatele, od kterého byly tyto informace o analýze hrozeb přijaty |
reportLink |
string |
Odkaz na sestavu |
threatDescription |
string |
Popis hrozby (volný text) |
threatName |
string |
Název hrozby (např. "Malware Jedobot") |
threatType |
string |
Typ hrozby (např. botnet) |
UrlEntity
Představuje entitu adresy URL.
Name | Typ | Description |
---|---|---|
id |
string |
Plně kvalifikované ID prostředku. Příklad – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Url |
Druh entity. |
name |
string |
Název prostředku |
properties.additionalData |
object |
Pytel vlastních polí, která by měla být součástí entity a budou prezentována uživateli. |
properties.friendlyName |
string |
Zobrazovaný název položky grafu, který představuje krátký lidsky čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být generována systémem. |
properties.url |
string |
Úplná adresa URL, na které entita odkazuje |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
UserInfo
Informace o uživateli, které provedly nějakou akci
Name | Typ | Description |
---|---|---|
string |
E-mail uživatele. |
|
name |
string |
Jméno uživatele |
objectId |
string |
ID objektu uživatele. |