Événements
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantAlertEvidence
Inclut des fichiers, des adresses IP, des URL, des utilisateurs ou des appareils associés à des alertes.
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
| Colonne | Type | Description |
|---|---|---|
| AccountDomain | string | Domaine du compte. |
| AccountName | string | Nom d’utilisateur du compte. |
| AccountObjectId | string | Identificateur unique du compte dans Azure Active Directory. |
| AccountSid | string | Identificateur de sécurité (SID) du compte. |
| AccountUpn | string | Nom d’utilisateur principal (UPN) du compte. |
| AdditionalFields | dynamic | Informations supplémentaires sur l’événement au format de tableau JSON. |
| AlertId | string | Identificateur unique de l’alerte. |
| Application | string | Application qui a effectué l’action enregistrée. |
| ApplicationId | int | Identificateur unique de l’application. |
| AttackTechniques | string | Techniques MITRE ATT&CK associées à l’activité qui a déclenché l’alerte. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| Catégories | string | Liste des catégories auxquelles les informations appartiennent, au format de tableau JSON. |
| DetectionSource | string | Technologie ou capteur de détection qui a identifié le composant ou l’activité notables. |
| DeviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’ordinateur. |
| EmailSubject | string | Objet de l’e-mail. |
| EntityType | string | Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur. |
| EvidenceDirection | string | Indique si l’entité est la source ou la destination d’une connexion réseau. |
| EvidenceRole | string | Comment l’entité est impliquée dans une alerte, indiquant si elle est affectée ou est simplement liée. |
| FileName | string | Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileSize | long | Taille du fichier en octets. |
| FolderPath | string | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LocalIP | string | Adresse IP affectée à l’appareil local utilisé pendant la communication. |
| NetworkMessageId | string | Identificateur unique de l’e-mail généré par Office 365. |
| OAuthApplicationId | string | Identificateur unique de l’application OAuth tierce. |
| ProcessCommandLine | string | Ligne de commande utilisée pour créer le nouveau processus. |
| RegistryKey | string | Clé de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueData | string | Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueName | string | Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RemoteIP | string | Adresse IP à laquelle il était connecté. |
| RemoteUrl | string | URL ou nom de domaine complet (FQDN) connecté. |
| ServiceSource | string | Produit ou service qui a fourni les informations d’alerte. |
| SHA1 | string | SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | string | SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli et n’utilise généralement pas la colonne SHA1 lorsqu’il est disponible. |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatFamily | string | Famille de programmes malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous. |
| TimeGenerated | DATETIME | Date et heure (UTC) de la génération de l’enregistrement. |
| Titre | string | Titre de l’alerte. |
| Type | string | Le nom de la table |
Ressources supplémentaires
Entrainement
Module
Effectuer des investigations de preuve et d’entités à l’aide de Microsoft Defender pour point de terminaison
Documentation
-
Informations de référence sur les journaux Azure Monitor - AlertInfo - Azure Monitor
Informations de référence sur la table AlertInfo dans les journaux Azure Monitor.
-
Informations de référence sur les journaux Azure Monitor - DeviceEvents - Azure Monitor
Informations de référence sur la table DeviceEvents dans les journaux Azure Monitor.
-
Informations de référence sur les journaux Azure Monitor - DeviceLogonEvents - Azure Monitor
Informations de référence sur la table DeviceLogonEvents dans les journaux Azure Monitor.