AlertEvidence
Inclut des fichiers, des adresses IP, des URL, des utilisateurs ou des appareils associés aux alertes.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AccountDomain | string | Domaine du compte. |
| AccountName | string | Nom d’utilisateur du compte. |
| AccountObjectId | string | Identificateur unique du compte dans Azure Active Directory. |
| AccountSid | string | Identificateur de sécurité (SID) du compte. |
| AccountUpn | string | Nom d’utilisateur principal (UPN) du compte. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’événement au format tableau JSON. |
| AlertId | string | Identificateur unique de l’alerte. |
| Application | string | Application qui a effectué l’action enregistrée. |
| ApplicationId | int | Identificateur unique de l’application. |
| AttackTechniques | string | MITRE ATT&techniques CK associées à l’activité qui a déclenché l’alerte. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| Catégories | string | Liste des catégories auxquelles les informations appartiennent, au format de tableau JSON. |
| DetectionSource | string | Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. |
| deviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de la machine. |
| EmailSubject | string | Objet de l’e-mail. |
| EntityType | string | Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur. |
| EvidenceDirection | string | Indique si l’entité est la source ou la destination d’une connexion réseau. |
| EvidenceRole | string | Comment l’entité est impliquée dans une alerte, indiquant si elle est impactée ou simplement liée. |
| FileName | string | Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileSize | long | Taille du fichier en octets. |
| FolderPath | string | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| LocalIP | string | Adresse IP affectée à l’appareil local utilisé pendant la communication. |
| NetworkMessageId | string | Identificateur unique de l’e-mail, généré par Office 365. |
| OAuthApplicationId | string | Identificateur unique de l’application OAuth tierce. |
| ProcessCommandLine | string | Ligne de commande utilisée pour créer le nouveau processus. |
| RegistryKey | string | Clé de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueData | string | Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueName | string | Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RemoteIP | string | Adresse IP à laquelle était connecté. |
| RemoteUrl | string | URL ou nom de domaine complet (FQDN) auquel était connecté. |
| ServiceSource | string | Produit ou service qui a fourni les informations d’alerte. |
| SHA1 | string | SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | string | SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 lorsqu’elle est disponible. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatFamily | string | Famille de programmes malveillants sous laquelle le fichier ou processus suspect ou malveillant a été classé. |
| TimeGenerated | DATETIME | Date et heure (UTC) de la génération de l’enregistrement. |
| Intitulé | string | Titre de l’alerte. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour