Watchlist
Azure Sentinel Watchlist enthält importierte Daten aus CSV-Dateien, die zum Verknüpfen oder Filtern als Warnungs-/Incidentbedingung verwendet werden können.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AzureTenantId | Zeichenfolge | Die AAD-Mandanten-ID, zu der diese Watchlist-Tabelle gehört. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| CorrelationId | Zeichenfolge | Die ID für korrelierte Ereignisse. |
| CreatedBy | dynamisch | Das JSON-Objekt mit dem Benutzer, der das Watchlist- oder Watchlist-Element erstellt hat, einschließlich: Objekt-ID, E-Mail-Adresse und Name. |
| CreatedTimeUTC | datetime | Die Zeit (UTC), zu der die Watchlist oder das Watchlist-Element zum ersten Mal erstellt wurde. |
| DefaultDuration | Zeichenfolge | Das JSON-Objekt, das die Standardlebensdauer beschreibt, die jedes Element einer Watchlist bei der Erstellung erben soll. Die Standarddauer hat dieses Format: P(n)Y(n)M(n)DT(n)H(n)M(n)M(n)S, wobei P, Y, M, DT, H, M und S invariante sind. Beispielsweise stellt P3Y6M4DT12H30M9S eine Dauer von drei Jahren, sechs Monaten, vier Tagen, zwölf Stunden, dreißig Minuten und neun Sekunden dar. |
| _DTItemId | Zeichenfolge | Die eindeutige ID des Watchlist- oder Watchlistelements. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Ein Watchlist-Element verfügt über eine eindeutige ID und gehört zu einer Watchlist. Die enthaltende Watchlist kann mithilfe der "WatchlistId" identifiziert werden. |
| _DTItemStatus | Zeichenfolge | Wurde das Watchlist- oder Watchlist-Element vom Benutzer erstellt, aktualisiert oder gelöscht. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Wenn eine Watchlist hinzugefügt wird, lautet die status "Erstellt". Wenn der Name der Watchlist von "RiskyUsers" auf "RiskyEmployees" aktualisiert wird, lautet die status "Aktualisiert". |
| _DTItemType | Zeichenfolge | Unterscheiden Sie zwischen einer Watchlist und einem Watchlist-Element. Beispielsweise kann eine Watchlist "RiskyUsers" das Watchlist-Element "Name:John Doe; email:johndoe@contoso.com'. Ein Watchlist-Elementtyp gehört zu einem Watchlist-Typ, und die enthaltende Watchlist kann mithilfe der "WatchlistId" identifiziert werden. |
| _DTTimestamp | datetime | Die Uhrzeit (UTC), zu der das Ereignis generiert wurde. |
| EntityMapping | dynamisch | Das JSON-Objekt mit Azure Sentinel-Entitätszuordnung zu Eingabespalten. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LastUpdatedTimeUTC | datetime | Der Zeitpunkt (UTC), zu dem die Watchlist oder das Watchlist-Element zuletzt aktualisiert wurde. |
| Notizen | Zeichenfolge | Die vom Benutzer bereitgestellten Notizen. |
| Anbieter | Zeichenfolge | Der Eingabeanbieter der Watchlist. |
| SearchKey | Zeichenfolge | Der SearchKey wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld, um andere Ereignistabellen nach IP-Adresse zu verknüpfen. |
| Quelle | Zeichenfolge | Die Eingabequelle der Watchlist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| Tags | Zeichenfolge | Das JSON-Array von Tags, das vom Benutzer bereitgestellt wird. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis generiert wurde. |
| timeToLive | datetime | Die Gültigkeitsdauer für einen Watchlist-Datensatz, ausgedrückt als Datum und Uhrzeit (z. B. 2020-08-20T17:00:00.9618037Z). Der ursprüngliche Wert wird von der Standarddauer der Watchlist geerbt. Wenn TimeToLive erfolgreich ist, gilt der Datensatz als gelöscht. Die Dauer eines Datensatzes kann jederzeit verlängert werden, indem der TimeToLive-Wert aktualisiert wird. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UpdatedBy | dynamisch | Das JSON-Objekt mit dem Benutzer, der das Element Watchlist oder Watchlist zuletzt aktualisiert hat, einschließlich: Objekt-ID, E-Mail-Adresse und Name. |
| WatchlistAlias | Zeichenfolge | Die eindeutige Zeichenfolge, die auf die Watchlist verweist. |
| WatchlistCategory | Zeichenfolge | Die vom Benutzer bereitgestellte Watchlist-Kategorie. |
| WatchlistId | Zeichenfolge | Der name der Resource Manager Watchlist-Ressource. |
| WatchlistItem | dynamisch | Das JSON-Objekt mit Schlüssel-Wert-Paaren aus der Watchlist-Eingabequelle. |
| WatchlistItemId | Zeichenfolge | Die eindeutige ID des Watchlist-Elements. |
| WatchlistName | Zeichenfolge | Der Anzeigename von Watchlist. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für