Watchlist
Azure Sentinel Watchlist enthält importierte Daten aus CSV-Dateien, die zum Verknüpfen oder Filtern als Warnungs-/Incidentbedingung verwendet werden können.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AzureTenantId | Zeichenfolge | Die AAD-Mandanten-ID, zu der diese Watchlist-Tabelle gehört. |
_BilledSize | real | Die Datensatzgröße in Bytes |
CorrelationId | Zeichenfolge | Die ID für korrelierte Ereignisse. |
CreatedBy | dynamisch | Das JSON-Objekt mit dem Benutzer, der das Watchlist- oder Watchlist-Element erstellt hat, einschließlich: Objekt-ID, E-Mail-Adresse und Name. |
CreatedTimeUTC | datetime | Die Zeit (UTC), zu der die Watchlist oder das Watchlist-Element zum ersten Mal erstellt wurde. |
DefaultDuration | Zeichenfolge | Das JSON-Objekt, das die Standardlebensdauer beschreibt, die jedes Element einer Watchlist bei der Erstellung erben soll. Die Standarddauer hat dieses Format: P(n)Y(n)M(n)DT(n)H(n)M(n)M(n)S, wobei P, Y, M, DT, H, M und S invariante sind. Beispielsweise stellt P3Y6M4DT12H30M9S eine Dauer von drei Jahren, sechs Monaten, vier Tagen, zwölf Stunden, dreißig Minuten und neun Sekunden dar. |
_DTItemId | Zeichenfolge | Die eindeutige ID des Watchlist- oder Watchlistelements. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Ein Watchlist-Element verfügt über eine eindeutige ID und gehört zu einer Watchlist. Die enthaltende Watchlist kann mithilfe der "WatchlistId" identifiziert werden. |
_DTItemStatus | Zeichenfolge | Wurde das Watchlist- oder Watchlist-Element vom Benutzer erstellt, aktualisiert oder gelöscht. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Wenn eine Watchlist hinzugefügt wird, lautet die status "Erstellt". Wenn der Name der Watchlist von "RiskyUsers" auf "RiskyEmployees" aktualisiert wird, lautet die status "Aktualisiert". |
_DTItemType | Zeichenfolge | Unterscheiden Sie zwischen einer Watchlist und einem Watchlist-Element. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Ein Watchlist-Elementtyp gehört zu einem Watchlist-Typ, und die enthaltende Watchlist kann mithilfe der "WatchlistId" identifiziert werden. |
_DTTimestamp | datetime | Die Uhrzeit (UTC), zu der das Ereignis generiert wurde. |
EntityMapping | dynamisch | Das JSON-Objekt mit Azure Sentinel-Entitätszuordnung zu Eingabespalten. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
LastUpdatedTimeUTC | datetime | Der Zeitpunkt (UTC), zu dem die Watchlist oder das Watchlist-Element zuletzt aktualisiert wurde. |
Notizen | Zeichenfolge | Die vom Benutzer bereitgestellten Notizen. |
Anbieter | Zeichenfolge | Der Eingabeanbieter der Watchlist. |
SearchKey | Zeichenfolge | Der SearchKey wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld, um andere Ereignistabellen nach IP-Adresse zu verknüpfen. |
Quelle | Zeichenfolge | Die Eingabequelle der Watchlist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Tags | Zeichenfolge | Das JSON-Array von Tags, das vom Benutzer bereitgestellt wird. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis generiert wurde. |
timeToLive | datetime | Die Gültigkeitsdauer für einen Watchlist-Datensatz, ausgedrückt als Datum und Uhrzeit (z. B. 2020-08-20T17:00:00.9618037Z). Der ursprüngliche Wert wird von der Standarddauer der Watchlist geerbt. Wenn TimeToLive erfolgreich ist, gilt der Datensatz als gelöscht. Die Dauer eines Datensatzes kann jederzeit verlängert werden, indem der TimeToLive-Wert aktualisiert wird. |
type | Zeichenfolge | Der Name der Tabelle. |
UpdatedBy | dynamisch | Das JSON-Objekt mit dem Benutzer, der das Element Watchlist oder Watchlist zuletzt aktualisiert hat, einschließlich: Objekt-ID, E-Mail-Adresse und Name. |
WatchlistAlias | Zeichenfolge | Die eindeutige Zeichenfolge, die auf die Watchlist verweist. |
WatchlistCategory | Zeichenfolge | Die vom Benutzer bereitgestellte Watchlist-Kategorie. |
WatchlistId | Zeichenfolge | Der name der Resource Manager Watchlist-Ressource. |
WatchlistItem | dynamisch | Das JSON-Objekt mit Schlüssel-Wert-Paaren aus der Watchlist-Eingabequelle. |
WatchlistItemId | Zeichenfolge | Die eindeutige ID des Watchlist-Elements. |
WatchlistName | Zeichenfolge | Der Anzeigename von Watchlist. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für