Lire en anglais

Partager via


AlertEvidence

Inclut des fichiers, des adresses IP, des URL, des utilisateurs ou des appareils associés à des alertes.

Attributs de table

Attribut Valeur
Types de ressources -
Catégories Sécurité
Solutions SecurityInsights
Journal de base Non
Transformation au moment de l’ingestion Oui
Exemples de requêtes Oui

Colonnes

Colonne Type Description
AccountDomain string Domaine du compte.
AccountName string Nom d’utilisateur du compte.
AccountObjectId string Identificateur unique du compte dans Azure Active Directory.
AccountSid string Identificateur de sécurité (SID) du compte.
AccountUpn string Nom d’utilisateur principal (UPN) du compte.
AdditionalFields dynamic Informations supplémentaires sur l’événement au format de tableau JSON.
AlertId string Identificateur unique de l’alerte.
Application string Application qui a effectué l’action enregistrée.
ApplicationId int Identificateur unique de l’application.
AttackTechniques string Techniques MITRE ATT&CK associées à l’activité qui a déclenché l’alerte.
_BilledSize real Taille de l’enregistrement en octets
Catégories string Liste des catégories auxquelles les informations appartiennent, au format de tableau JSON.
DetectionSource string Technologie ou capteur de détection qui a identifié le composant ou l’activité notables.
DeviceId string Identificateur unique de l’appareil dans le service.
DeviceName string Nom de domaine complet (FQDN) de l’ordinateur.
EmailSubject string Objet de l’e-mail.
EntityType string Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur.
EvidenceDirection string Indique si l’entité est la source ou la destination d’une connexion réseau.
EvidenceRole string Comment l’entité est impliquée dans une alerte, indiquant si elle est affectée ou est simplement liée.
FileName string Nom du fichier auquel l’action enregistrée a été appliquée.
FileSize long Taille du fichier en octets.
FolderPath string Dossier contenant le fichier auquel l’action enregistrée a été appliquée.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
LocalIP string Adresse IP affectée à l’appareil local utilisé pendant la communication.
NetworkMessageId string Identificateur unique de l’e-mail généré par Office 365.
OAuthApplicationId string Identificateur unique de l’application OAuth tierce.
ProcessCommandLine string Ligne de commande utilisée pour créer le nouveau processus.
RegistryKey string Clé de Registre à laquelle l’action enregistrée a été appliquée.
RegistryValueData string Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée.
RegistryValueName string Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée.
RemoteIP string Adresse IP à laquelle il était connecté.
RemoteUrl string URL ou nom de domaine complet (FQDN) connecté.
ServiceSource string Produit ou service qui a fourni les informations d’alerte.
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée.
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli et n’utilise généralement pas la colonne SHA1 lorsqu’il est disponible.
SourceSystem string Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
TenantId string ID de l’espace de travail Log Analytics
ThreatFamily string Famille de programmes malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous.
TimeGenerated DATETIME Date et heure (UTC) de la génération de l’enregistrement.
Titre string Titre de l’alerte.
Type string Le nom de la table