ThreatIntelIndicators
Table Threat Intelligence qui contient des indicateurs STIX.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressources | microsoft.securityinsights/threatintelligence |
Catégories | Sécurité |
Solutions | SecurityInsights |
Journal de base | Oui |
Transformation au moment de l’ingestion | Non |
Exemples de requêtes | - |
Colonnes
Colonne | Type | Description |
---|---|---|
AdditionalFields | dynamic | Champs de type specifc ajoutés par Sentinel. Contient le TLPLevel : blanc, vert, ambre ou rouge. |
AzureTenantId | string | Locataire qui a envoyé l’indicateur. |
_BilledSize | real | Taille de l’enregistrement en octets |
Confiance | int | Confiance que le créateur a dans l’exactitude de ses données. La valeur doit être un nombre compris entre 0 et 100. |
Créé | DATETIME | Date de création de l’indicateur. |
Données | dynamic | Toutes les propriétés d’objet, mises en forme en fonction de la spécification STIX (https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf). |
Id | string | Valeur qui identifie de façon unique l’objet STIX d’indicateur. Cette valeur est utilisable avec les API Sentinel. |
IsActive | bool | Valeur qui spécifie si un indicateur est actif et valide pour les détections. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable’ingestion false n’est pas facturée à votre compte Azure |
IsDeleted | bool | Valeur qui indique si les données ont été supprimées de Sentinel ou non. |
LastUpdateMethod | string | Composant qui a mis à jour l’indicateur pour la dernière fois. |
Modifié | DATETIME | Date de modification de l’indicateur. |
ObservableKey | string | Le côté gauche entier d’une comparaison d’égalité à partir du modèle. |
ObservableValue | string | Le côté droit d’une comparaison d’égalité à partir du modèle. |
Modèle | string | Le modèle de détection de cet indicateur PEUT être exprimé sous la forme d’un modèle STIX. |
_ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
Révoqué | bool | Valeur qui spécifie si l’indicateur a été révoqué. |
Source | string | Nom de la source. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, pour l’agent OpsManager Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
_SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
Balises | string | Balises définies par Sentinel pour l’indicateur. |
TenantId | string | ID de l’espace de travail Log Analytics |
TimeGenerated | DATETIME | Heure de l’ingestion de l’indicateur. |
Type | string | Le nom de la table |
ValidFrom | DATETIME | Heure à partir de laquelle cet indicateur est considéré comme un indicateur valide des comportements qu’il est lié ou représente. |
ValidUntil | DATETIME | Heure à laquelle cet indicateur ne doit plus être considéré comme un indicateur valide des bahviors auxquels il est lié ou représente. |
WorkspaceId | string | Espace de travail qui a envoyé l’indicateur. |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour