Anomalien
Diese Tabelle enthält Anomalien, die von den aktiven Anomalieanalyseregeln in Azure Sentinel generiert werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActivityInsights | dynamisch | Einblicke in die Aktivitäten, die der generierten Anomalie als JSON entsprechen. |
AnomalyDetails | dynamisch | JSON-Objekt mit allgemeinen Informationen über die Regel und den Algorithmus, die die Anomalie generiert haben, sowie Erklärungen für die Anomalie. |
AnomalyReasons | dynamisch | Die detaillierte Erläuterung der generierten Anomalie als JSON. |
AnomalyTemplateId | Zeichenfolge | Die ID der Anomalievorlage, die diese Anomalie generiert hat. |
AnomalyTemplateName | Zeichenfolge | Der Name der Anomalievorlage, die diese Anomalie generiert hat. |
AnomalyTemplateVersion | Zeichenfolge | Die Version der Anomalievorlage, die diese Anomalie generiert hat. |
_BilledSize | real | Die Datensatzgröße in Bytes |
BESCHREIBUNG | Zeichenfolge | Die Beschreibung der Anomalie. |
DestinationDevice | Zeichenfolge | Das Zielgerät, für das die Anomalie generiert wurde. |
DestinationIpAddress | Zeichenfolge | Die Ziel-IP-Adresse, für die die Anomalie generiert wurde. |
DestinationLocation | dynamisch | Informationen zum Zielspeicherort, für den die Anomalie als JSON generiert wurde. |
DeviceInsights | dynamisch | Erkenntnisse zu den Geräten, die der generierten Anomalie als JSON entsprechen. |
EndTime | datetime | Die Uhrzeit (UTC), zu der die Anomalie beendet wurde. |
Entitäten | dynamisch | JSON-Objekt, das alle Entitäten enthält, die an der generierten Anomalie beteiligt sind. |
ExtendedLinks | dynamisch | Liste der Links, die auf die Daten verweisen, die die Anomalie generiert haben. |
ExtendedProperties | dynamisch | JSON-Objekt mit zusätzlichen Daten zur Anomalie als Schlüssel-Wert-Paare. |
Id | string | Die ID der generierten Anomalie. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
RuleConfigVersion | Zeichenfolge | Die Konfigurationsversion der Anomalieanalyseregel, die diese Anomalie generiert hat. |
RuleId | Zeichenfolge | Die ID der Anomalieanalyseregel, die diese Anomalie generiert hat. |
RuleName | Zeichenfolge | Der Name der Anomalieanalyseregel, die diese Anomalie generiert hat. |
RuleStatus | Zeichenfolge | Die status (Flighting/Produktion) der Anomalieanalyseregel, die diese Anomalie generiert hat. |
Bewertung | real | Die Bewertung der Anomalie. |
SourceDevice | Zeichenfolge | Das Quellgerät, für das die Anomalie generiert wurde. |
SourceIpAddress | Zeichenfolge | Die Quell-IP-Adresse, für die die Anomalie generiert wurde. |
SourceLocation | dynamisch | Informationen zum Quellspeicherort, für den die Anomalie als JSON generiert wurde. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
StartTime | datetime | Die Uhrzeit (UTC), zu der die Anomalie gestartet wurde. |
Taktik | Zeichenfolge | Liste der MITRE ATT&CK-Taktiken (Zeichenfolgen), die der Anomalie entsprechen. |
Techniken | Zeichenfolge | Listen Sie MITRE ATT&CK-Techniken (Zeichenfolgen) auf, die der Anomalie entsprechen. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem die Anomalie generiert wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
UserInsights | dynamisch | Erkenntnisse über die Benutzer, die der generierten Anomalie als JSON entsprechen. |
UserName | Zeichenfolge | Der Benutzername, für den die Anomalie generiert wurde. |
UserPrincipalName | Zeichenfolge | Der UPN des Benutzers, für den die Anomalie generiert wurde. |
VendorName | Zeichenfolge | Der Name des Anbieters, der diese Anomalie generiert hat. |
WorkspaceId | Zeichenfolge | Die ID des Sentinel-Arbeitsbereichs. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für