ThreatIntelligenceIndicator
Threat Intelligence-Indikator
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| Aktion | Zeichenfolge | Aktion, die für die Indikatorgleichung ausgeführt werden soll. |
| Aktiv | bool | Gibt an, ob der Indikator aktiv ist. |
| ActivityGroupNames | Zeichenfolge | Aktivitätsgruppen, die dem Indikator zugeordnet sind. |
| AdditionalInformation | Zeichenfolge | Zusätzliche Freitextinformationen für den Indikator. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| ConfidenceScore | real | Konfidenzbewertung des Indikators von 0 bis 100. |
| BESCHREIBUNG | Zeichenfolge | Die Beschreibung des Indikators. |
| DiamondModel | Zeichenfolge | Diamantmodellwert für den Indikator, einer der Widersacher, der Fähigkeit, der Infrastruktur oder des Opfers. |
| DomainName | Zeichenfolge | Der beobachtbare Domänenname. |
| E-Mail-Codierung | Zeichenfolge | Die beobachtbare E-Mail-Codierung. |
| EmailLanguage | Zeichenfolge | Die E-Mail-Sprache, die beobachtet werden kann. |
| EmailRecipient | Zeichenfolge | Der E-Mail-Empfänger, der beobachtet werden kann. |
| EmailSenderAddress | Zeichenfolge | Die E-Mail-Absenderadresse, die beobachtet werden kann. |
| EmailSenderName | Zeichenfolge | Der E-Mail-Absendername, der beobachtet werden kann. |
| EmailSourceDomain | Zeichenfolge | Die beobachtbare E-Mail-Quelldomäne. |
| EmailSourceIpAddress | Zeichenfolge | Die E-Mail-Quell-IP-Adresse, die beobachtet werden kann. |
| EmailSubject | Zeichenfolge | Der E-Mail-Betreff, der beobachtet werden kann. |
| EmailXMailer | Zeichenfolge | Die E-Mail-X-Mailer-Beobachtung. |
| ExpirationDateTime | datetime | Zeitpunkt des Ablaufs des Indikators. |
| ExternalIndicatorId | Zeichenfolge | Bezeichner für den Indikator aus der Übermittlung des Systems. |
| FileCompileDateTime | datetime | Die beobachtbare Dateikompilierungszeit. |
| FileCreatedDateTime | datetime | Die beobachtbare Dateierstellungszeit. |
| FileHashType | Zeichenfolge | Der zu beobachtende Dateihashtyp. |
| FileHashValue | Zeichenfolge | Der beobachtbare Dateihashwert. |
| FileMutexName | Zeichenfolge | Der mutex-Dateiname, der beobachtbar ist. |
| Dateiname | Zeichenfolge | Der beobachtbare Dateiname. |
| FilePacker | Zeichenfolge | Der zu beobachtende Dateipaketer. |
| FilePath | Zeichenfolge | Der beobachtbare Dateipfad. |
| FileSize | INT | Die beobachtbare Dateigröße. |
| FileType | Zeichenfolge | Der zu beobachtende Dateityp. |
| IndicatorId | Zeichenfolge | Eindeutiger Bezeichner für den Indikator, der vom Empfangssystem berechnet wird. |
| IndicatorProvider | Zeichenfolge | Der Name der Entität, die den Indikator bereitgestellt hat. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| KillChainActions | bool | Gibt an, ob der Wert "Actions" für die Kill Chain festgelegt ist. |
| KillChainC2 | bool | Gibt an, ob der Kill Chain-Wert "C2" festgelegt ist. |
| KillChainDelivery | bool | Gibt an, ob der Wert für die Kill Chain "delivery" festgelegt ist. |
| KillChainExploitation | bool | Gibt an, ob der Wert "Ausnutzung" der Kill Chain festgelegt ist. |
| KillChainReconnaissance | bool | Gibt an, ob der Wert "Reconniassance" der Kill Chain festgelegt ist. |
| KillChainWeaponization | bool | Gibt an, ob der Wert "Bewaffnung" der Kill Chain festgelegt ist. |
| KnownFalsePositives | Zeichenfolge | Text, der Situationen beschreibt, in denen der Indikator zu falsch positiven Ergebnissen führen kann. |
| MalwareNames | Zeichenfolge | Liste der Schadsoftwarenamen, die dem Indikator zugeordnet sind |
| NetworkCidrBlock | Zeichenfolge | Der NETZWERK-CIDR-Block beobachtbar. |
| NetworkDestinationAsn | INT | Die beobachtbare Anzahl des autonomen Systems des Netzwerkziels. |
| NetworkDestinationCidrBlock | Zeichenfolge | Der CIDR-Block des Netzwerkziels, der beobachtbar ist. |
| NetworkDestinationIP | Zeichenfolge | Die IP-Adresse des Netzwerkziels. |
| NetworkDestinationPort | INT | Der beobachtbare Netzwerkzielport. |
| NetworkIP | Zeichenfolge | Die zu beobachtende Netzwerk-IP-Adresse. |
| NetworkPort | INT | Der beobachtbare Netzwerkport. |
| NetworkProtocol | INT | Das beobachtbare Netzwerkprotokoll. |
| NetworkSourceAsn | INT | Die beobachtbare Anzahl des autonomen Systems der Netzwerkquelle. |
| NetworkSourceCidrBlock | Zeichenfolge | Der CIDR-Block der Netzwerkquelle, der beobachtbar ist. |
| NetworkSourceIP | Zeichenfolge | Die zu beobachtende IP-Adresse der Netzwerkquelle. |
| NetworkSourcePort | INT | Der beobachtbare Netzwerkquellport. |
| PassiveOnly | bool | Gibt an, ob der Indikator ein Ereignis auslösen soll, das für einen Benutzer sichtbar ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| Tags | Zeichenfolge | Tags für Freiformulare. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| ThreatSeverity | INT | Indikatorschweregrad von 0 bis 5. Höherer Wert gibt einen höheren Schweregrad an. |
| ThreatType | Zeichenfolge | Bedrohungstyp des Indikators. |
| TimeGenerated | datetime | Zeitpunkt der Erfassung des Indikators. |
| TrafficLightProtocolLevel | Zeichenfolge | Die Standard-Ampel-Protokollebene der Branche, eine von Weiß, Grün, Bernstein oder Rot. |
| type | Zeichenfolge | Der Name der Tabelle. |
| url | Zeichenfolge | Die beobachtbare URL. |
| UserAgent | Zeichenfolge | Der beobachtbare Benutzer-Agent. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für