Partager via


IlumioInsights

Le connecteur de données Ilumio Insights permet d’ingérer des journaux d’audit et d’événements à partir de l’API Ilumio Insight dans Microsoft Sentinel. Le connecteur de données est basé sur la plateforme de connecteurs sans code Microsoft Sentinel et utilise l’API Ilumio Insight pour extraire les événements. Le connecteur prend en charge les transformations de temps d’ingestion basées sur DCR qui analysent les données d’événement de sécurité reçues dans des colonnes personnalisées afin que les requêtes n’ont pas besoin de l’analyser à nouveau, ce qui entraîne de meilleures performances.

Attributs de tables de données

Caractéristique Valeur
Types de ressources -
Catégories Sécurité
Solutions SecurityInsights
Journal de base Oui
Transformation au moment de l’ingestion Non
Exemples de requêtes Oui

Colonnes

Colonne Catégorie Descriptif
AzureResourceId ficelle ID de ressource Azure associé à l’événement.
_BilledSize réel Taille de l’enregistrement en octets
CvssSeverity ficelle Évaluation de gravité CVSS (Common Vulnerability Scoring System).
DestCity ficelle Ville où l’adresse IP de destination est géolocalisée.
DestCountry ficelle Pays où se trouve l’adresse IP de destination.
DestIp ficelle Adresse IP de la destination.
DestIsWellKnown bool Indique si la destination est une entité connue/approuvée.
DestLabel ficelle Étiquette ou balise affectée à l’entité de destination.
DestPort Int Numéro de port sur le point de terminaison de destination.
DestThreatLevel ficelle Niveau de menace associé à l’adresse IP de destination.
FlowCount Int Nombre de flux ou de sessions détectés pour cet événement.
IllumioTenantId ficelle ID de locataire attribué par Illumio pour les environnements multilocataires.
IllumioUrl ficelle URL permettant d’afficher l’enregistrement ou les détails associés dans la console Illumio.
_IsBillable ficelle Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
Nom ficelle Nom ou type de l’insight ou de l’événement.
Port Int Port source ou de service impliqué dans la communication.
Proto ficelle Protocole utilisé dans la communication (par exemple, TCP, UDP).
ResourceInternalId ficelle Identificateur interne de la ressource surveillée dans Illumio.
ResourceRegion ficelle Région Azure où la ressource est déployée.
ResourceSubId ficelle ID d’abonnement Azure qui contient la ressource.
ResourceTenantId ficelle ID de locataire Azure auquel appartient la ressource.
ResourceVnetId ficelle Identificateur du réseau virtuel associé à la ressource.
Service ficelle Nom du service détecté ou utilisé (par exemple, HTTP, SSH).
SourceSystem ficelle Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
SrcCity ficelle Ville où l’adresse IP source est géolocalisée.
SrcCountry ficelle Pays où se trouve l’adresse IP source.
SrcIP ficelle Adresse IP de la source.
SrcIsWellKnown bool Indique si la source est une entité connue/approuvée.
SrcLabel ficelle Étiquette ou balise affectée à l’entité source.
SrcPort Int Numéro de port utilisé par l’entité source.
SrcThreatLevel ficelle Niveau de menace (par exemple, Faible, Moyen, Élevé) associé à l’adresse IP source.
Statut ficelle État actuel de l’aperçu (par exemple, Actif, Résolu).
Id de locataire ficelle ID de l’espace de travail Log Analytics
TimeGenerated date/heure L'horodatage où l'enregistrement ou l'événement a été consigné.
Nombre total d'octets reçus Int Nombre total d’octets reçus pendant le flux de communication.
TotalSentBytes Int Nombre total d’octets envoyés pendant le flux de communication.
Catégorie ficelle Le nom de la table de données
UniqueID ficelle Identificateur unique pour une information ou un événement spécifique.
VEScore réel Score d’exposition des vulnérabilités indiquant le niveau de risque.