Lire en anglais

Partager via

DynamicSummary

  • Article

Le résumé dynamique Azure Sentinel fournit un stockage de données de sécurité pour conserver les résultats concentrés et les résumés pour la chasse, l’investigation, la recherche, la détection. La description récapitulative et les observables détaillées peuvent être stockées dans Log Analytics pour une analyse et une génération de rapports supplémentaires.

Attributs de table

Attribut Valeur
Types de ressources -
Catégories -
Solutions SecurityInsights
Journal de base Non
Transformation au moment de l’ingestion Non
Exemples de requêtes -

Colonnes

Colonne Type Description
AzureTenantId string ID de locataire AAD auquel appartient cette table DynamicSummary.
_BilledSize real Taille de l’enregistrement en octets
CreatedBy dynamic Objet JSON avec l’utilisateur qui a créé un résumé, notamment : ID d’objet, e-mail et nom.
CreatedTimeUTC DATETIME Heure (UTC) de création du résumé.
EventTimeUTC DATETIME Heure (UTC) à laquelle l’élément de synthèse s’est produit à l’origine.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
ObservableType string Les observables sont des événements avec état ot propriétés liées au fonctionnement du système informatique, qui sont utiles pour identifier les indicateurs de compromission. Par exemple, connectez-vous.
ObservableValue string Valeur du type observable, par exemple : activité RDP anormale.
PackedContent dynamic L’objet JSON comporte des colonnes empaquetées qui peuvent être générées à l’aide de KQL pack_all().
Requête string Il s’agit de la requête utilisée pour générer le résultat.
QueryEndDate DATETIME Les événements qui se sont produits avant cette datetime seront inclus dans le résultat.
QueryStartDate DATETIME Les événements qui se sont produits après cette datetime seront inclus dans le résultat.
RelationId string ID de source de données d’origine
RelationName string Nom de la source de données d’origine.
Clé de recherche string SearchKey est utilisé pour optimiser les performances des requêtes lors de l’utilisation de DynamicSummary pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ pour joindre d’autres tables d’événements par adresse IP.
SourceInfo dynamic Objet JSON avec les informations du producteur de données, y compris la source, le nom, la version.
SourceSystem string Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
SummaryDataType string Cet indicateur est utilisé pour indiquer si l’enregistrement est un niveau de synthèse ou un enregistrement de niveau élément de synthèse.
SummaryDescription string Description fournie par l’utilisateur.
SummaryId string ID unique récapitulative.
SummaryItemId string ID unique de l’élément de résumé.
SummaryName string Nom complet résumé, unique dans l’espace de travail.
SummaryStatus string Actif ou supprimé.
Tactique dynamic Les tactiques MITRE ATT&CK sont ce que les attaquants tentent d’atteindre. Par exemple, exfiltration.
Techniques dynamic Les techniques MITRE ATT&CK sont la façon dont ces tactiques sont accomplies.
TenantId string ID de l’espace de travail Log Analytics
TimeGenerated DATETIME Horodatage (UTC) du moment où l’événement a été ingéré dans Azure Monitor.
Type string Le nom de la table
UpdatedBy dynamic Objet JSON avec l’utilisateur qui a mis à jour le résumé, notamment : ID d’objet, e-mail et nom.
UpdatedTimeUTC DATETIME Heure (UTC) de la mise à jour du résumé.