Liste de surveillance
Azure Sentinel Watchlist contient des données importées à partir de fichiers CSV qui peuvent être utilisées pour joindre ou filtrer en tant que condition d’alerte/d’incident.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AzureTenantId | string | ID de locataire AAD auquel appartient cette table Watchlist. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| CorrelationId | string | ID des événements corrélés. |
| CreatedBy | dynamique | Objet JSON avec l’utilisateur qui a créé l’élément Watchlist ou Watchlist, y compris : ID d’objet, adresse e-mail et nom. |
| CreatedTimeUTC | DATETIME | Heure (UTC) à laquelle l’élément Watchlist ou Watchlist a été créé pour la première fois. |
| DefaultDuration | string | Objet JSON décrivant la durée de vie par défaut que chaque élément d’une watchlist doit hériter lors de la création. La durée par défaut a le format suivant : P(n)Y(n)M(n)DT(n)H(n)M(n)S, où P, Y, M, DT, H, M et S sont invariants. Par exemple, P3Y6M4DT12H30M9S représente une durée de trois ans, six mois, quatre jours, douze heures, trente minutes et neuf secondes. |
| _DTItemId | string | ID unique de l’élément Watchlist ou Watchlist. Par exemple, une watchlist 'RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; e-mail :johndoe@contoso.com'. Un élément Watchlist a un ID unique et appartient à une watchlist. La watchlist contenant peut être identifiée à l’aide de « WatchlistId ». |
| _DTItemStatus | string | L’élément Watchlist ou Watchlist a-t-il été créé, mis à jour ou supprimé par l’utilisateur. Par exemple, une watchlist 'RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; e-mail :johndoe@contoso.com'. Si une watchlist est ajoutée, le status est « Créé ». Si le nom de la watchlist est mis à jour de « RiskyUsers » en « RiskyEmployees », le status serait « Mis à jour ». |
| _DTItemType | string | Faire la distinction entre une Watchlist et un élément Watchlist. Par exemple, une watchlist 'RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; e-mail :johndoe@contoso.com'. Un type d’élément Watchlist appartient à un type Watchlist et la watchlist contenant peut être identifiée à l’aide de « WatchlistId ». |
| _DTTimestamp | DATETIME | Heure (UTC) à laquelle l’événement a été généré. |
| EntityMapping | dynamique | Objet JSON avec mappage d’entité Azure Sentinel aux colonnes d’entrée. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| LastUpdatedTimeUTC | DATETIME | Heure (UTC) de la dernière mise à jour de l’élément Watchlist ou Watchlist. |
| Notes | string | Notes fournies par l’utilisateur. |
| Fournisseur | string | Fournisseur d’entrée de la Watchlist. |
| Clé de recherche | string | SearchKey est utilisé pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ pour joindre d’autres tables d’événements par adresse IP. |
| Source | string | Source d’entrée de la Watchlist. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| Étiquettes | string | Tableau JSON de balises fourni par l’utilisateur. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Horodatage (UTC) de la date de génération de l’événement. |
| timeToLive | DATETIME | Heure de vie d’un enregistrement Watchlist, exprimée en tant que date et heure du jour (par exemple, 2020-08-20T17 :00 :00.9618037Z). Sa valeur d’origine est héritée de la durée par défaut de Watchlist. Si TimeToLive réussit, l’enregistrement est considéré comme supprimé. La durée d’un enregistrement peut être prolongée à tout moment en mettant à jour la valeur TimeToLive. |
| Type | string | Le nom de la table |
| Mis à jour Par | dynamique | Objet JSON avec l’utilisateur qui a mis à jour l’élément Watchlist ou Watchlist pour la dernière fois, y compris : ID d’objet, e-mail et nom. |
| WatchlistAlias | string | Chaîne unique faisant référence à la watchlist. |
| WatchlistCategory | string | Catégorie Watchlist fournie par l’utilisateur. |
| WatchlistId | string | Nom de la ressource watchlist Resource Manager. |
| WatchlistItem | dynamique | Objet JSON avec des paires clé-valeur de la source Watchlist d’entrée. |
| WatchlistItemId | string | ID unique de l’élément Watchlist. |
| WatchlistName | string | Nom d’affichage de Watchlist. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour