Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Tabelle ist Teil des Identitäts- und Netzwerkzugriffs, der Netzwerkzugriffsbenachrichtigungen enthält. Diese Warnungen können genutzt werden, um den Status Ihres Netzwerkzugriffs zu kennen.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheits-, Netzwerk-, IT- und Verwaltungstools |
| Lösungen | Protokollverwaltung |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | Beschreibung |
|---|---|---|
| Alarmtyp | Schnur | Der Typname der Warnung. Warnungen desselben Typs sollten denselben Namen haben. Dieses Feld ist eine Schlüsselzeichenfolge, die den Typ der Warnung und nicht einer Warnungsinstanz darstellt. Alle Warnungsinstanzen derselben Erkennungslogik/Analyse sollten denselben Wert für den Warnungstyp aufweisen. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Komponentenname | Schnur | Der Name einer Komponente innerhalb des Produkts, das die Warnung generiert hat. Dies ist ein optionales Feld, das nur für Produkte aufgefüllt werden kann, in denen externe Endbenutzer bestimmte Komponenten innerhalb eines Produkts kennen. Bei Produkten, die unterschiedliche Arten von SKU/Bundles anbieten, kann dieses Feld den SKU- oder Bündelnamen enthalten. |
| Erstellungsdatum und -zeit | Datum und Zeit | Das Datum und die Uhrzeit (UTC), zu dem das Ereignis generiert wurde. |
| Beschreibung | Schnur | Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. |
| Erkennungstechnologie | Schnur | Optionales Feld zum Halten der Bedrohungserkennungstechnologie für Warnungen. |
| Anzeigename | Schnur | Der Anzeigename der Warnung, dieser Wert wird den Benutzern entweder in seiner ursprünglichen Form oder mit zusätzlichen Parametern angezeigt. |
| ErweiterteEigenschaften | dynamisch | Eine Tasche mit Feldern, die dem Benutzer angezeigt werden. Anbieter können hier alle benutzerdefinierten Felder senden, die Teil der Warnung sein sollten. |
| FirstActivityDateTime | Datum und Zeit | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). Das Feld wird gemäß ISO8601 als Zeichenkette serialisiert, einschließlich UTC-Zeitzoneninformationen. |
| Id | Schnur | Ein eindeutiger Bezeichner für jede Netzwerkzugriffsbenachrichtigung. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt |
| IsPreview | Boolesch | IsPreview wird als "true" definiert, wenn sich die Warnung im Zustand der öffentlichen Vorschau befindet und noch nicht für GA berechtigt ist. Der Wert ist standardmäßig "false". |
| LastActivityDateTime | Datum und Zeit | Die Endzeit der Auswirkungen der Warnung (der Zeitpunkt des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). Das Feld wird gemäß ISO8601 als Zeichenkette serialisiert, einschließlich UTC-Zeitzoneninformationen. |
| PolicyId | Schnur | Die Richtlinien-ID, die dem Netzwerkzugriffsverkehr zugeordnet ist, der die Warnung generiert hat. |
| Produktname | Schnur | Der Name des Produkts, das diese Warnung veröffentlicht hat, z. B. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS usw. |
| Verwandte Ressourcen | dynamisch | Eine Liste der Entitäten im Zusammenhang mit der Warnung. Diese Liste kann eine Mischung aus Entitäten unterschiedlicher Typen enthalten. Der Entitätentyp kann einer der im Abschnitt „Entities“ definierten Typen sein. Entitäten, die sich nicht in der nachstehenden Liste befinden, können ebenfalls gesendet werden, es ist jedoch nicht garantiert, dass sie verarbeitet werden (die Warnung schlägt nicht fehl Bei der Produktion mit neuen Entitätstypen). |
| Schweregrad | Schnur | Der Schweregrad der Warnung, wie sie vom Anbieter gemeldet wird. Mögliche Werte: Informational, Niedrig, Mittel, Hoch. |
| SourceSystem | Schnur | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SubTechniques | Schnur | Optionales Feld, das die zugehörigen Subtechniken für die Killchain hinter der Warnung angibt. Jede Untertechnik sollte in dieser Liste mithilfe ihrer ID hinzugefügt werden, und sie sollte mindestens eine übereinstimmende Absicht im Feld "Intent" haben. |
| Techniken | Schnur | Optionales Feld, das die zugehörigen Techniken für die Killchain hinter der Warnung angibt. Jede Technik sollte in dieser Liste mithilfe ihrer ID hinzugefügt werden und mindestens einen übereinstimmenden Zweck im Feld "Intent" aufweisen. Die Produktion dieses Felds (das erwartete Format der Technik-ID und der Abgleich mit den Intent-Werten) folgen DEM MITRE att@ck Enterprise-Matrixmodell (Öffnet in neuem Fenster oder Registerkarte), und weitere Anleitungen zu den verschiedenen Techniken, die jede Absicht bilden, finden Sie in der DOKUMENTATION von MITRE. |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum und Zeit | Das Datum und die Uhrzeit (UTC), zu dem das Ereignis generiert wurde. |
| Typ | Schnur | Der Name der Tabelle. |
| Lieferantenname | Schnur | Der Name des Anbieters, der die Warnung ausgelöst hat, wird den Benutzern unverändert angezeigt. Bei den meisten Warnmeldungen von internen Sicherheitsprodukten sollte sie als "Microsoft" festgelegt werden. |