AlertEvidence
Incluye archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados a las alertas.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AccountDomain | string | Dominio de la cuenta. |
| AccountName | string | Nombre de usuario de la cuenta. |
| AccountObjectId | string | Identificador único de la cuenta en Azure Active Directory. |
| AccountSid | string | Identificador de seguridad (SID) de la cuenta. |
| AccountUpn | string | Nombre principal de usuario (UPN) de la cuenta. |
| AdditionalFields | dinámico | Información adicional sobre el evento en formato de matriz JSON. |
| AlertId | string | Identificador único de la alerta. |
| Application | string | Aplicación que realizó la acción grabada. |
| ApplicationId | int | Identificador único de la aplicación. |
| AttackTechniques | string | MITRE ATT&técnicas CK asociadas a la actividad que desencadenó la alerta. |
| _BilledSize | real | Tamaño del registro en bytes |
| Categorías | string | Lista de categorías a las que pertenece la información, en formato de matriz JSON. |
| DetectionSource | string | Tecnología de detección o sensor que identificó el componente o actividad notables. |
| deviceId | string | Identificador único del dispositivo en el servicio. |
| DeviceName | string | Nombre de dominio completo (FQDN) de la máquina. |
| EmailSubject | string | Asunto del correo electrónico. |
| EntityType | string | Tipo de objeto, como un archivo, un proceso, un dispositivo o un usuario. |
| EvidenceDirection | string | Indica si la entidad es el origen o el destino de una conexión de red. |
| EvidenceRole | string | Cómo participa la entidad en una alerta, lo que indica si se ve afectado o simplemente está relacionado. |
| FileName | string | Nombre del archivo al que se aplicó la acción grabada. |
| FileSize | long | Tamaño del archivo en bytes. |
| FolderPath | string | Carpeta que contiene el archivo al que se aplicó la acción grabada. |
| _IsBillable | string | Especifica si la ingesta de los datos se puede facturar. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LocalIP | string | Dirección IP asignada al dispositivo local usado durante la comunicación. |
| NetworkMessageId | string | Identificador único del correo electrónico, generado por Office 365. |
| OAuthApplicationId | string | Identificador único de la aplicación de OAuth de terceros. |
| ProcessCommandLine | string | Línea de comandos usada para crear el nuevo proceso. |
| RegistryKey | string | Clave del Registro a la que se aplicó la acción grabada. |
| RegistryValueData | string | Datos del valor del Registro al que se aplicó la acción registrada. |
| RegistryValueName | string | Nombre del valor del Registro al que se aplicó la acción grabada. |
| RemoteIP | string | Dirección IP a la que se estaba conectando. |
| Remoteurl | string | Dirección URL o nombre de dominio completo (FQDN) al que se estaba conectando. |
| ServiceSource | string | Producto o servicio que proporcionó la información de alerta. |
| SHA1 | string | SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 | string | SHA-256 del archivo al que se aplicó la acción grabada. Normalmente, este campo no se rellena: use la columna SHA1 cuando esté disponible. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| ThreatFamily | string | Familia de malware bajo la que se ha clasificado el archivo o proceso sospechoso o malintencionado. |
| TimeGenerated | datetime | Fecha y hora (UTC) cuando se generó el registro. |
| Título | string | Título de la alerta. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de