Événement
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantThreatIntelligenceIndicator
Indicateur De renseignement sur les menaces
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
| Colonne | Type | Description |
|---|---|---|
| Action | string | Action à effectuer sur la correspondance d’indicateur. |
| Activé | bool | Indique si l’indicateur est actif. |
| ActivityGroupNames | string | Groupes d’activités associés à l’indicateur. |
| AdditionalInformation | string | Informations supplémentaires sur le texte libre pour l’indicateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| ConfidenceScore | real | Évaluation de confiance de l’indicateur, comprise entre 0 et 100. |
| Description | string | Description de l’indicateur. |
| DiamondModel | string | Valeur du modèle diamant pour l’indicateur, l’un des adversaires, des capacités, de l’infrastructure ou de la victime. |
| DomainName | string | Nom de domaine observable. |
| EmailEncoding | string | Encodage d’e-mail observable. |
| EmailLanguage | string | Langue d’e-mail observable. |
| EmailRecipient | string | Destinataire de l’e-mail observable. |
| EmailSenderAddress | string | Adresse de l’expéditeur de l’e-mail observable. |
| EmailSenderName | string | Nom de l’expéditeur de l’e-mail observable. |
| EmailSourceDomain | string | Domaine source de messagerie observable. |
| EmailSourceIpAddress | string | Adresse IP source de l’e-mail observable. |
| EmailSubject | string | Objet de l’e-mail observable. |
| EmailXMailer | string | L’e-mail X-Mailer observable. |
| ExpirationDateTime | DATETIME | Délai d’expiration de l’indicateur. |
| ExternalIndicatorId | string | Identificateur de l’indicateur de l’envoi du système. |
| FileCompileDateTime | DATETIME | Temps de compilation de fichier observable. |
| FileCreatedDateTime | DATETIME | Heure de création de fichier observable. |
| FileHashType | string | Type de hachage de fichier observable. |
| FileHashValue | string | Valeur de hachage de fichier observable. |
| FileMutexName | string | Nom mutex de fichier observable. |
| FileName | string | Nom de fichier observable. |
| FilePacker | string | Observable du pack de fichiers. |
| FilePath | string | Chemin d’accès au fichier observable. |
| FileSize | int | Taille de fichier observable. |
| FileType | string | Type de fichier observable. |
| IndicatorId | string | Identificateur unique pour l’indicateur, calculé en recevant le système. |
| IndicatorProvider | string | Nom de l’entité qui a fourni l’indicateur. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| KillChainActions | bool | Indique si la valeur de chaîne de destruction 'actions' est définie. |
| KillChainC2 | bool | Indique si la valeur de chaîne de destruction « C2 » est définie. |
| KillChainDelivery | bool | Indique si la valeur de chaîne de destruction 'delivery' est définie. |
| KillChainExploitation | bool | Indique si la valeur de chaîne de destruction 'exploitation' est définie. |
| KillChainReconnaissance | bool | Indique si la valeur de chaîne de destruction « reconniassance » est définie. |
| KillChainWeaponization | bool | Indique si la valeur de la chaîne de destruction « arme » est définie. |
| KnownFalsePositives | string | Texte décrivant les situations où l’indicateur peut provoquer des faux positifs. |
| MalwareNames | string | Liste des noms de programmes malveillants associés à l’indicateur |
| NetworkCidrBlock | string | Bloc CIDR réseau observable. |
| NetworkDestinationAsn | int | Numéro de système autonome de destination réseau observable. |
| NetworkDestinationCidrBlock | string | Bloc CIDR de destination réseau observable. |
| NetworkDestinationIP | string | Adresse IP de destination réseau. |
| NetworkDestinationPort | int | Port de destination réseau observable. |
| NetworkIP | string | Adresse IP réseau observable. |
| NetworkPort | int | Port réseau observable. |
| NetworkProtocol | int | Protocole réseau observable. |
| NetworkSourceAsn | int | Numéro de système autonome source du réseau observable. |
| NetworkSourceCidrBlock | string | Bloc CIDR source réseau observable. |
| NetworkSourceIP | string | Adresse IP source du réseau observable. |
| NetworkSourcePort | int | Port source réseau observable. |
| PassiveOnly | bool | Indique si l’indicateur doit déclencher un événement visible par un utilisateur. |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Balises | string | Balises de formulaire libre. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatSeverity | int | Évaluation de gravité de l’indicateur comprise entre 0 et 5. La valeur supérieure indique une gravité plus élevée. |
| ThreatType | string | Type de menace de l’indicateur. |
| TimeGenerated | DATETIME | Durée de l’ingestion de l’indicateur. |
| TrafficLightProtocolLevel | string | Niveau de protocole de lumière du trafic standard, un de blanc, vert, orange ou rouge. |
| Type | string | Le nom de la table |
| Url | string | URL observable. |
| UserAgent | string | Agent utilisateur observable. |
Ressources supplémentaires
Formation
Module
Utiliser le renseignement sur les menaces dans Microsoft Azure Sentinel - Training
Utiliser le renseignement sur les menaces dans Microsoft Azure Sentinel