Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Sentinel bizalmas figyelőlistája olyan CSV-fájlokból importált adatokat tartalmaz, amelyek riasztási/incidensállapotként való csatlakozásra vagy szűrésre használhatók.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | Nem |
| Betöltési idő átalakítás | Nem |
| Minta lekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| AzureTenantId | húr | Az AAD-bérlőazonosító, amelyhez ez a Figyelőlista táblázat tartozik. |
| _BilledSize | valódi | A rekord mérete bájtban |
| Korrelációazonosító | húr | A korrelált események azonosítója. |
| CreatedBy | dinamikus | A JSON-objektum a Figyelőlista vagy a Figyelőlista elemet létrehozó felhasználóval, beleértve a következőket: Objektumazonosító, e-mail és név. |
| Létrehozási idő UTC | dátum/idő | A Figyelőlista vagy a Figyelőlista elem első létrehozásának időpontja (UTC). |
| Alapértelmezett Időtartam | húr | Az alapértelmezett élettartamot leíró JSON-objektum, amelyet a figyelőlista minden elemének örökölnie kell a létrehozáskor. Az alapértelmezett időtartam formátuma: P(n)Y(n)M(n)DT(n)H(n)M(n)S, ahol A P, Y, M, DT, H, M és S invariáns. A P3Y6M4DT12H30M9S például három év, hat hónap, négy nap, tizenkét óra, harminc perc és kilenc másodperc időtartamot jelöl. |
| _DTItemId | húr | A Figyelőlista vagy a Figyelőlista elem egyedi azonosítója. Például a „RiskyUsers” figyelőlista tartalmazhat egy figyelőlista elemet: „Név: John Doe; e-mail: johndoe@contoso.com”. A Figyelőlista elem egyedi azonosítóval rendelkezik, és egy figyelőlistához tartozik. A figyelőlistát tartalmazó lista a "WatchlistId" használatával azonosítható. |
| _DTItemStatus | húr | A Figyelőlista vagy a Figyelőlista elemet a felhasználó hozta létre, frissítette vagy törölte. Például a „RiskyUsers” figyelőlista tartalmazhat egy figyelőlista elemet: „Név: John Doe; e-mail: johndoe@contoso.com”. Ha hozzáad egy figyelőlistát, az állapot "Létrehozva" lesz. Ha a figyelőlista neve "RiskyUsers" értékről "RiskyEmployees" értékre frissül, az állapot "Frissítve" lesz. |
| _DTItemType | húr | Figyelőlista és Figyelőlista elem megkülönböztetése. Például a „RiskyUsers” figyelőlista tartalmazhat egy figyelőlista elemet: „Név: John Doe; e-mail: johndoe@contoso.com”. A Figyelőlista elemtípus egy figyelőlistatípushoz tartozik, és a figyelőlistát tartalmazó lista a "WatchlistId" használatával azonosítható. |
| _DTTimestamp | dátum/idő | Az esemény létrehozásának időpontja (UTC). |
| Entitástérkép | dinamikus | Az Azure Sentinel-entitások bemeneti oszlopokhoz való leképezésével rendelkező JSON-objektum. |
| _Számlázható-e | húr | Megadja, hogy az adatok betöltése számlázható-e. Ha a _IsBillable betölti, false a számlázás nem történik meg az Azure-fiókjában |
| UtolsóFrissítésIdejeUTC | dátum/idő | A Figyelőlista vagy a Figyelőlista elem legutóbbi frissítésének időpontja (UTC). |
| Jegyzetek | húr | A felhasználó által megadott jegyzetek. |
| Szolgáltató | húr | A Figyelőlista bemeneti szolgáltatója. |
| KeresésiKulcs | húr | A SearchKey a lekérdezési teljesítmény optimalizálására szolgál, ha figyelőlistákat használ más adatokkal való illesztéshez. Engedélyezze például, hogy egy IP-címmel rendelkező oszlop legyen a kijelölt SearchKey mező, majd ezzel a mezővel csatlakozhat más eseménytáblákhoz IP-cím alapján. |
| Forrás | húr | A Figyelőlista bemeneti forrása. |
| SourceSystem | húr | Az esemény által gyűjtött ügynök típusa. Windows-ügynököknél például vagy közvetlen csatlakozás, vagy Operations Manager esetén a OpsManager, Linux-ügynökök mindegyikénél a Linux, vagy az Azure Diagnostics esetén a Azure. |
| Címkék | húr | A felhasználó által megadott címkék JSON-tömbje. |
| BérlőAzonosító (TenantId) | húr | A Log Analytics-munkaterület azonosítója |
| GenerálásiIdőpont | dátum/idő | Az esemény létrehozásának időbélyege (UTC). |
| TimeToLive | dátum/idő | A Figyelőlista rekord élettartamának ideje, nap és idő szerint kifejezve (pl. 2020-08-20T17:00:00.9618037Z). Eredeti értéke a Watchlist alapértelmezett időtartamától öröklődik. Ha a TimeToLive időtartama lejár, a rekord töröltnek tekintendő. A rekord időtartama bármikor meghosszabbítható a TimeToLive érték frissítésével. |
| Típus | húr | A tábla neve |
| Frissítette | dinamikus | A JSON-objektum a felhasználóval, aki legutóbb frissítette a Figyelőlista vagy a Figyelőlista elemet, beleértve a következőket: Objektumazonosító, e-mail és név. |
| FigyelőlistaAliasz | húr | A Figyelőlistára hivatkozó egyedi sztring. |
| Figyelőlista kategória | húr | A felhasználó által biztosított Figyelőlista kategória. |
| FigyelőlistaId | húr | A Resource Manager figyelőlistájában szereplő erőforrás neve. |
| Figyelőlista elem | dinamikus | A JSON-objektum kulcs-érték párokkal a bemeneti figyelőlista forrásából. |
| FigyelőlistaElemAzonító | húr | A Figyelőlista elem egyedi azonosítója. |
| Figyelőlista Neve | húr | A Figyelőlista megjelenítendő neve. |