Aktion |
Zeichenfolge |
Aktion, die für die Indikatorgleichung ausgeführt werden soll. |
Aktiv |
bool |
Gibt an, ob der Indikator aktiv ist. |
ActivityGroupNames |
Zeichenfolge |
Aktivitätsgruppen, die dem Indikator zugeordnet sind. |
AdditionalInformation |
Zeichenfolge |
Zusätzliche Freitextinformationen für den Indikator. |
_BilledSize |
real |
Die Datensatzgröße in Bytes |
ConfidenceScore |
real |
Konfidenzbewertung des Indikators von 0 bis 100. |
BESCHREIBUNG |
Zeichenfolge |
Die Beschreibung des Indikators. |
DiamondModel |
Zeichenfolge |
Diamantmodellwert für den Indikator, einer der Widersacher, der Fähigkeit, der Infrastruktur oder des Opfers. |
DomainName |
Zeichenfolge |
Der beobachtbare Domänenname. |
E-Mail-Codierung |
Zeichenfolge |
Die beobachtbare E-Mail-Codierung. |
EmailLanguage |
Zeichenfolge |
Die E-Mail-Sprache, die beobachtet werden kann. |
EmailRecipient |
Zeichenfolge |
Der E-Mail-Empfänger, der beobachtet werden kann. |
EmailSenderAddress |
Zeichenfolge |
Die E-Mail-Absenderadresse, die beobachtet werden kann. |
EmailSenderName |
Zeichenfolge |
Der E-Mail-Absendername, der beobachtet werden kann. |
EmailSourceDomain |
Zeichenfolge |
Die beobachtbare E-Mail-Quelldomäne. |
EmailSourceIpAddress |
Zeichenfolge |
Die E-Mail-Quell-IP-Adresse, die beobachtet werden kann. |
EmailSubject |
Zeichenfolge |
Der E-Mail-Betreff, der beobachtet werden kann. |
EmailXMailer |
Zeichenfolge |
Die E-Mail-X-Mailer-Beobachtung. |
ExpirationDateTime |
datetime |
Zeitpunkt des Ablaufs des Indikators. |
ExternalIndicatorId |
Zeichenfolge |
Bezeichner für den Indikator aus der Übermittlung des Systems. |
FileCompileDateTime |
datetime |
Die beobachtbare Dateikompilierungszeit. |
FileCreatedDateTime |
datetime |
Die beobachtbare Dateierstellungszeit. |
FileHashType |
Zeichenfolge |
Der zu beobachtende Dateihashtyp. |
FileHashValue |
Zeichenfolge |
Der beobachtbare Dateihashwert. |
FileMutexName |
Zeichenfolge |
Der mutex-Dateiname, der beobachtbar ist. |
Dateiname |
Zeichenfolge |
Der beobachtbare Dateiname. |
FilePacker |
Zeichenfolge |
Der zu beobachtende Dateipaketer. |
FilePath |
Zeichenfolge |
Der beobachtbare Dateipfad. |
FileSize |
INT |
Die beobachtbare Dateigröße. |
FileType |
Zeichenfolge |
Der zu beobachtende Dateityp. |
IndicatorId |
Zeichenfolge |
Eindeutiger Bezeichner für den Indikator, der vom Empfangssystem berechnet wird. |
IndicatorProvider |
Zeichenfolge |
Der Name der Entität, die den Indikator bereitgestellt hat. |
_IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
KillChainActions |
bool |
Gibt an, ob der Wert "Actions" für die Kill Chain festgelegt ist. |
KillChainC2 |
bool |
Gibt an, ob der Kill Chain-Wert "C2" festgelegt ist. |
KillChainDelivery |
bool |
Gibt an, ob der Wert für die Kill Chain "delivery" festgelegt ist. |
KillChainExploitation |
bool |
Gibt an, ob der Wert "Ausnutzung" der Kill Chain festgelegt ist. |
KillChainReconnaissance |
bool |
Gibt an, ob der Wert "Reconniassance" der Kill Chain festgelegt ist. |
KillChainWeaponization |
bool |
Gibt an, ob der Wert "Bewaffnung" der Kill Chain festgelegt ist. |
KnownFalsePositives |
Zeichenfolge |
Text, der Situationen beschreibt, in denen der Indikator zu falsch positiven Ergebnissen führen kann. |
MalwareNames |
Zeichenfolge |
Liste der Schadsoftwarenamen, die dem Indikator zugeordnet sind |
NetworkCidrBlock |
Zeichenfolge |
Der NETZWERK-CIDR-Block beobachtbar. |
NetworkDestinationAsn |
INT |
Die beobachtbare Anzahl des autonomen Systems des Netzwerkziels. |
NetworkDestinationCidrBlock |
Zeichenfolge |
Der CIDR-Block des Netzwerkziels, der beobachtbar ist. |
NetworkDestinationIP |
Zeichenfolge |
Die IP-Adresse des Netzwerkziels. |
NetworkDestinationPort |
INT |
Der beobachtbare Netzwerkzielport. |
NetworkIP |
Zeichenfolge |
Die zu beobachtende Netzwerk-IP-Adresse. |
NetworkPort |
INT |
Der beobachtbare Netzwerkport. |
NetworkProtocol |
INT |
Das beobachtbare Netzwerkprotokoll. |
NetworkSourceAsn |
INT |
Die beobachtbare Anzahl des autonomen Systems der Netzwerkquelle. |
NetworkSourceCidrBlock |
Zeichenfolge |
Der CIDR-Block der Netzwerkquelle, der beobachtbar ist. |
NetworkSourceIP |
Zeichenfolge |
Die zu beobachtende IP-Adresse der Netzwerkquelle. |
NetworkSourcePort |
INT |
Der beobachtbare Netzwerkquellport. |
PassiveOnly |
bool |
Gibt an, ob der Indikator ein Ereignis auslösen soll, das für einen Benutzer sichtbar ist. |
SourceSystem |
Zeichenfolge |
Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Tags |
Zeichenfolge |
Tags für Freiformulare. |
TenantId |
Zeichenfolge |
Die Log Analytics-Arbeitsbereichs-ID |
ThreatSeverity |
INT |
Indikatorschweregrad von 0 bis 5. Höherer Wert gibt einen höheren Schweregrad an. |
ThreatType |
Zeichenfolge |
Bedrohungstyp des Indikators. |
TimeGenerated |
datetime |
Zeitpunkt der Erfassung des Indikators. |
TrafficLightProtocolLevel |
Zeichenfolge |
Die Standard-Ampel-Protokollebene der Branche, eine von Weiß, Grün, Bernstein oder Rot. |
type |
Zeichenfolge |
Der Name der Tabelle. |
url |
Zeichenfolge |
Die beobachtbare URL. |
UserAgent |
Zeichenfolge |
Der beobachtbare Benutzer-Agent. |