Événements
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantListe de surveillance
Azure Sentinel Watchlist contient des données importées à partir de fichiers CSV qui peuvent être utilisées pour joindre ou filtrer en tant que condition d’alerte/incident.
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
| Colonne | Type | Description |
|---|---|---|
| AzureTenantId | string | ID de locataire AAD auquel appartient cette table Watchlist. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| CorrelationId | string | ID des événements corrélés. |
| CreatedBy | dynamic | Objet JSON avec l’utilisateur qui a créé l’élément Watchlist ou Watchlist, notamment l’ID d’objet, l’e-mail et le nom. |
| CreatedTimeUTC | DATETIME | Heure (UTC) de création de l’élément Watchlist ou Watchlist. |
| DefaultDuration | string | Objet JSON décrivant la durée par défaut à laquelle chaque élément d’une Watchlist doit hériter lors de la création. La durée par défaut a ce format : P(n)Y(n)M(n)DT(n)H(n)M(n)S, où P, Y, M, DT, H, M et S sont invariants. Par exemple, P3Y6M4DT12H30M9S représente une durée de trois ans, six mois, quatre jours, douze heures, trente minutes et neuf secondes. |
| _DTItemId | string | ID unique de l’élément Watchlist ou Watchlist. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Un élément Watchlist a un ID unique et appartient à une Watchlist. La watchlist contenant peut être identifiée à l’aide du « WatchlistId ». |
| _DTItemStatus | string | L’élément Watchlist ou Watchlist a-t-il été créé, mis à jour ou supprimé par l’utilisateur. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Si une watchlist est ajoutée, l’état est « Créé ». Si le nom de la Watchlist est mis à jour de « RiskyUsers » à « RiskyEmployees », l’état est « Mis à jour ». |
| _DTItemType | string | Faire la distinction entre une liste de surveillance et un élément Watchlist. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Un type d’élément Watchlist appartient à un type Watchlist et le Watchlist contenant peut être identifié à l’aide du « WatchlistId ». |
| _DTTimestamp | DATETIME | Heure (UTC) de la génération de l’événement. |
| EntityMapping | dynamic | Objet JSON avec mappage d’entité Azure Sentinel aux colonnes d’entrée. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LastUpdatedTimeUTC | DATETIME | Heure (UTC) de la dernière mise à jour de l’élément Watchlist ou Watchlist. |
| Notes | string | Notes fournies par l’utilisateur. |
| Fournisseur | string | Fournisseur d’entrée de la Watchlist. |
| Clé de recherche | string | SearchKey est utilisé pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ pour joindre d’autres tables d’événements par adresse IP. |
| Source | string | Source d’entrée de la Watchlist. |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Balises | string | Tableau JSON de balises fournies par l’utilisateur. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Horodatage (UTC) de l’heure de génération de l’événement. |
| TimeToLive | DATETIME | Durée de vie d’un enregistrement Watchlist, exprimée sous forme de date et d’heure du jour (par exemple, 2020-08-20T17:00:00.9618037Z). Sa valeur d’origine est héritée de la durée par défaut de Watchlist. Si TimeToLive passe, l’enregistrement est considéré comme supprimé. La durée d’un enregistrement peut être prolongée à tout moment en mettant à jour la valeur TimeToLive. |
| Type | string | Le nom de la table |
| UpdatedBy | dynamic | Objet JSON avec l’utilisateur qui a mis à jour l’élément Watchlist ou Watchlist, notamment l’ID d’objet, l’e-mail et le nom. |
| WatchlistAlias | string | Chaîne unique faisant référence à la Watchlist. |
| WatchlistCategory | string | Catégorie Watchlist fournie par l’utilisateur. |
| WatchlistId | string | Nom de la ressource Watchlist Resource Manager. |
| WatchlistItem | dynamic | Objet JSON avec paires clé-valeur de la source Watchlist d’entrée. |
| WatchlistItemId | string | ID unique de l’élément Watchlist. |
| WatchlistName | string | Nom complet de Watchlist. |
Ressources supplémentaires
Entrainement
Module
Utiliser des watchlists dans Microsoft Azure Sentinel - Training
Utiliser des watchlists dans Microsoft Azure Sentinel