Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Sentinel Watchlist contient des données importées à partir de fichiers CSV qui peuvent être utilisées pour joindre ou filtrer en tant que condition d’alerte/incident.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AzureTenantId | chaîne | L'ID de locataire AAD auquel appartient cette table de liste de surveillance. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| CorrelationId | chaîne | ID des événements corrélés. |
| CreatedBy | dynamique | L'objet JSON avec l'utilisateur qui a créé la Watchlist ou un élément de Watchlist, y compris : l'ID de l'objet, l'adresse e-mail et le nom. |
| CreatedTimeUTC | date et heure | Heure (UTC) de création de la Watchlist ou de l'élément de la Watchlist. |
| DefaultDuration | chaîne | Objet JSON décrivant la durée de vie par défaut que chaque élément d'une Watchlist devrait hériter lors de sa création. La durée par défaut a ce format : P(n)Y(n)M(n)DT(n)H(n)M(n)S, où P, Y, M, DT, H, M et S sont invariants. Par exemple, P3Y6M4DT12H30M9S représente une durée de trois ans, six mois, quatre jours, douze heures, trente minutes et neuf secondes. |
| _DTItemId | chaîne | L'ID unique de la liste de surveillance ou de l'élément de la liste de surveillance. Par exemple, une liste de surveillance 'RiskyUsers' peut contenir l’élément de la liste de surveillance 'Nom : John Doe ; email : johndoe@contoso.com'. Un élément Watchlist a un ID unique et appartient à une Watchlist. La liste de surveillance contenue peut être identifiée à l'aide du « WatchlistId ». |
| _DTItemStatus | chaîne | La liste de surveillance ou l'élément de la liste de surveillance a-t-il été créé, mis à jour ou supprimé par l'utilisateur ? Par exemple, une liste de surveillance 'RiskyUsers' peut contenir l’élément de la liste de surveillance 'Nom : John Doe ; email : johndoe@contoso.com'. Si une watchlist est ajoutée, l’état est « Créé ». Si le nom de la Watchlist est mis à jour de « RiskyUsers » à « RiskyEmployees », l’état est « Mis à jour ». |
| _DTItemType | chaîne | Faire la distinction entre une liste de surveillance et un élément Watchlist. Par exemple, une liste de surveillance 'RiskyUsers' peut contenir l’élément de la liste de surveillance 'Nom : John Doe ; email : johndoe@contoso.com'. Un type d’élément de Watchlist appartient à un type de Watchlist, et la Watchlist qui le contient peut être identifiée à l’aide du « WatchlistId ». |
| _DTTimestamp | date et heure | Heure (UTC) de la génération de l’événement. |
| Cartographie d'entité | dynamique | L’objet JSON avec le mappage d’entité Azure Sentinel aux colonnes d’entrée. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LastUpdatedTimeUTC | date et heure | Heure (UTC) de la dernière mise à jour de la liste de surveillance ou de son élément. |
| Remarques | chaîne | Notes fournies par l’utilisateur. |
| Fournisseur | chaîne | Le fournisseur d'entrée de la liste de surveillance. |
| Clé de recherche | chaîne | SearchKey est utilisé pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ pour joindre d’autres tables d’événements par adresse IP. |
| Source | chaîne | Source d’entrée de la Watchlist. |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Balises | chaîne | Tableau JSON de balises fournies par l’utilisateur. |
| Identifiant du locataire | chaîne | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Horodateur (UTC) de la génération de l’événement. |
| TimeToLive | date et heure | Durée de vie d’un enregistrement Watchlist, exprimée sous forme de date et d’heure du jour (par exemple, 2020-08-20T17:00:00.9618037Z). Sa valeur d’origine est héritée de la durée par défaut de Watchlist. Si TimeToLive passe, l’enregistrement est considéré comme supprimé. La durée d’un enregistrement peut être prolongée à tout moment en mettant à jour la valeur TimeToLive. |
| Catégorie | chaîne | Nom de la table |
| UpdatedBy | dynamique | L'objet JSON avec l'utilisateur qui a mis à jour pour la dernière fois la liste de surveillance ou l'élément de la liste de surveillance, y compris : l'ID de l'objet, l'e-mail et le nom. |
| WatchlistAlias | chaîne | La chaîne unique faisant référence à la liste de surveillance. |
| Catégorie de liste de surveillance | chaîne | Catégorie Watchlist fournie par l’utilisateur. |
| WatchlistId | chaîne | Nom de la ressource de la liste de surveillance du gestionnaire de ressources. |
| Élément de la liste de surveillance | dynamique | L'objet JSON avec des paires clé-valeur de la source de la liste de surveillance d'entrée. |
| ID d'Élément de Liste de Surveillance | chaîne | L'ID unique de l'élément de la liste de surveillance. |
| Nom de la liste de surveillance | chaîne | Le nom d'affichage de la liste de surveillance. |