ThreatIntelligenceIndicator
Threat Intelligence-Indikator
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
Aktion | Zeichenfolge | Aktion, die für die Indikatorgleichung ausgeführt werden soll. |
Aktiv | bool | Gibt an, ob der Indikator aktiv ist. |
ActivityGroupNames | Zeichenfolge | Aktivitätsgruppen, die dem Indikator zugeordnet sind. |
AdditionalInformation | Zeichenfolge | Zusätzliche Freitextinformationen für den Indikator. |
_BilledSize | real | Die Datensatzgröße in Bytes |
ConfidenceScore | real | Konfidenzbewertung des Indikators von 0 bis 100. |
BESCHREIBUNG | Zeichenfolge | Die Beschreibung des Indikators. |
DiamondModel | Zeichenfolge | Diamantmodellwert für den Indikator, einer der Widersacher, der Fähigkeit, der Infrastruktur oder des Opfers. |
DomainName | Zeichenfolge | Der beobachtbare Domänenname. |
E-Mail-Codierung | Zeichenfolge | Die beobachtbare E-Mail-Codierung. |
EmailLanguage | Zeichenfolge | Die E-Mail-Sprache, die beobachtet werden kann. |
EmailRecipient | Zeichenfolge | Der E-Mail-Empfänger, der beobachtet werden kann. |
EmailSenderAddress | Zeichenfolge | Die E-Mail-Absenderadresse, die beobachtet werden kann. |
EmailSenderName | Zeichenfolge | Der E-Mail-Absendername, der beobachtet werden kann. |
EmailSourceDomain | Zeichenfolge | Die beobachtbare E-Mail-Quelldomäne. |
EmailSourceIpAddress | Zeichenfolge | Die E-Mail-Quell-IP-Adresse, die beobachtet werden kann. |
EmailSubject | Zeichenfolge | Der E-Mail-Betreff, der beobachtet werden kann. |
EmailXMailer | Zeichenfolge | Die E-Mail-X-Mailer-Beobachtung. |
ExpirationDateTime | datetime | Zeitpunkt des Ablaufs des Indikators. |
ExternalIndicatorId | Zeichenfolge | Bezeichner für den Indikator aus der Übermittlung des Systems. |
FileCompileDateTime | datetime | Die beobachtbare Dateikompilierungszeit. |
FileCreatedDateTime | datetime | Die beobachtbare Dateierstellungszeit. |
FileHashType | Zeichenfolge | Der zu beobachtende Dateihashtyp. |
FileHashValue | Zeichenfolge | Der beobachtbare Dateihashwert. |
FileMutexName | Zeichenfolge | Der mutex-Dateiname, der beobachtbar ist. |
Dateiname | Zeichenfolge | Der beobachtbare Dateiname. |
FilePacker | Zeichenfolge | Der zu beobachtende Dateipaketer. |
FilePath | Zeichenfolge | Der beobachtbare Dateipfad. |
FileSize | INT | Die beobachtbare Dateigröße. |
FileType | Zeichenfolge | Der zu beobachtende Dateityp. |
IndicatorId | Zeichenfolge | Eindeutiger Bezeichner für den Indikator, der vom Empfangssystem berechnet wird. |
IndicatorProvider | Zeichenfolge | Der Name der Entität, die den Indikator bereitgestellt hat. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
KillChainActions | bool | Gibt an, ob der Wert "Actions" für die Kill Chain festgelegt ist. |
KillChainC2 | bool | Gibt an, ob der Kill Chain-Wert "C2" festgelegt ist. |
KillChainDelivery | bool | Gibt an, ob der Wert für die Kill Chain "delivery" festgelegt ist. |
KillChainExploitation | bool | Gibt an, ob der Wert "Ausnutzung" der Kill Chain festgelegt ist. |
KillChainReconnaissance | bool | Gibt an, ob der Wert "Reconniassance" der Kill Chain festgelegt ist. |
KillChainWeaponization | bool | Gibt an, ob der Wert "Bewaffnung" der Kill Chain festgelegt ist. |
KnownFalsePositives | Zeichenfolge | Text, der Situationen beschreibt, in denen der Indikator zu falsch positiven Ergebnissen führen kann. |
MalwareNames | Zeichenfolge | Liste der Schadsoftwarenamen, die dem Indikator zugeordnet sind |
NetworkCidrBlock | Zeichenfolge | Der NETZWERK-CIDR-Block beobachtbar. |
NetworkDestinationAsn | INT | Die beobachtbare Anzahl des autonomen Systems des Netzwerkziels. |
NetworkDestinationCidrBlock | Zeichenfolge | Der CIDR-Block des Netzwerkziels, der beobachtbar ist. |
NetworkDestinationIP | Zeichenfolge | Die IP-Adresse des Netzwerkziels. |
NetworkDestinationPort | INT | Der beobachtbare Netzwerkzielport. |
NetworkIP | Zeichenfolge | Die zu beobachtende Netzwerk-IP-Adresse. |
NetworkPort | INT | Der beobachtbare Netzwerkport. |
NetworkProtocol | INT | Das beobachtbare Netzwerkprotokoll. |
NetworkSourceAsn | INT | Die beobachtbare Anzahl des autonomen Systems der Netzwerkquelle. |
NetworkSourceCidrBlock | Zeichenfolge | Der CIDR-Block der Netzwerkquelle, der beobachtbar ist. |
NetworkSourceIP | Zeichenfolge | Die zu beobachtende IP-Adresse der Netzwerkquelle. |
NetworkSourcePort | INT | Der beobachtbare Netzwerkquellport. |
PassiveOnly | bool | Gibt an, ob der Indikator ein Ereignis auslösen soll, das für einen Benutzer sichtbar ist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Tags | Zeichenfolge | Tags für Freiformulare. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatSeverity | INT | Indikatorschweregrad von 0 bis 5. Höherer Wert gibt einen höheren Schweregrad an. |
ThreatType | Zeichenfolge | Bedrohungstyp des Indikators. |
TimeGenerated | datetime | Zeitpunkt der Erfassung des Indikators. |
TrafficLightProtocolLevel | Zeichenfolge | Die Standard-Ampel-Protokollebene der Branche, eine von Weiß, Grün, Bernstein oder Rot. |
type | Zeichenfolge | Der Name der Tabelle. |
url | Zeichenfolge | Die beobachtbare URL. |
UserAgent | Zeichenfolge | Der beobachtbare Benutzer-Agent. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für