Anomalien
Diese Tabelle enthält Anomalien, die von den aktiven Anomalieanalyseregeln in Azure Sentinel generiert werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActivityInsights | dynamisch | Einblicke in die Aktivitäten, die der generierten Anomalie als JSON entsprechen. |
| AnomalyDetails | dynamisch | JSON-Objekt mit allgemeinen Informationen über die Regel und den Algorithmus, die die Anomalie generiert haben, sowie Erklärungen für die Anomalie. |
| AnomalyReasons | dynamisch | Die detaillierte Erläuterung der generierten Anomalie als JSON. |
| AnomalyTemplateId | Zeichenfolge | Die ID der Anomalievorlage, die diese Anomalie generiert hat. |
| AnomalyTemplateName | Zeichenfolge | Der Name der Anomalievorlage, die diese Anomalie generiert hat. |
| AnomalyTemplateVersion | Zeichenfolge | Die Version der Anomalievorlage, die diese Anomalie generiert hat. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| BESCHREIBUNG | Zeichenfolge | Die Beschreibung der Anomalie. |
| DestinationDevice | Zeichenfolge | Das Zielgerät, für das die Anomalie generiert wurde. |
| DestinationIpAddress | Zeichenfolge | Die Ziel-IP-Adresse, für die die Anomalie generiert wurde. |
| DestinationLocation | dynamisch | Informationen zum Zielspeicherort, für den die Anomalie als JSON generiert wurde. |
| DeviceInsights | dynamisch | Erkenntnisse zu den Geräten, die der generierten Anomalie als JSON entsprechen. |
| EndTime | datetime | Die Uhrzeit (UTC), zu der die Anomalie beendet wurde. |
| Entitäten | dynamisch | JSON-Objekt, das alle Entitäten enthält, die an der generierten Anomalie beteiligt sind. |
| ExtendedLinks | dynamisch | Liste der Links, die auf die Daten verweisen, die die Anomalie generiert haben. |
| ExtendedProperties | dynamisch | JSON-Objekt mit zusätzlichen Daten zur Anomalie als Schlüssel-Wert-Paare. |
| Id | string | Die ID der generierten Anomalie. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| RuleConfigVersion | Zeichenfolge | Die Konfigurationsversion der Anomalieanalyseregel, die diese Anomalie generiert hat. |
| RuleId | Zeichenfolge | Die ID der Anomalieanalyseregel, die diese Anomalie generiert hat. |
| RuleName | Zeichenfolge | Der Name der Anomalieanalyseregel, die diese Anomalie generiert hat. |
| RuleStatus | Zeichenfolge | Die status (Flighting/Produktion) der Anomalieanalyseregel, die diese Anomalie generiert hat. |
| Bewertung | real | Die Bewertung der Anomalie. |
| SourceDevice | Zeichenfolge | Das Quellgerät, für das die Anomalie generiert wurde. |
| SourceIpAddress | Zeichenfolge | Die Quell-IP-Adresse, für die die Anomalie generiert wurde. |
| SourceLocation | dynamisch | Informationen zum Quellspeicherort, für den die Anomalie als JSON generiert wurde. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| StartTime | datetime | Die Uhrzeit (UTC), zu der die Anomalie gestartet wurde. |
| Taktik | Zeichenfolge | Liste der MITRE ATT&CK-Taktiken (Zeichenfolgen), die der Anomalie entsprechen. |
| Techniken | Zeichenfolge | Listen Sie MITRE ATT&CK-Techniken (Zeichenfolgen) auf, die der Anomalie entsprechen. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Anomalie generiert wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserInsights | dynamisch | Erkenntnisse über die Benutzer, die der generierten Anomalie als JSON entsprechen. |
| UserName | Zeichenfolge | Der Benutzername, für den die Anomalie generiert wurde. |
| UserPrincipalName | Zeichenfolge | Der UPN des Benutzers, für den die Anomalie generiert wurde. |
| VendorName | Zeichenfolge | Der Name des Anbieters, der diese Anomalie generiert hat. |
| WorkspaceId | Zeichenfolge | Die ID des Sentinel-Arbeitsbereichs. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für