Query per la tabella AggregatedSecurityAlert

Per informazioni sull'uso di queste query nel portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Raggruppare gli avvisi di sicurezza aggregati per settore

Avvisi di sicurezza aggregati raggruppati per settore originato.

source
| project
    TimeGenerated = todatetime(TimeGenerated),
    DisplayName = AlertDisplayName,
    AlertName = AlertDisplayName,
    AlertSeverity = Severity,
    Description,
    ProviderName,
    VendorName,
    VendorOriginalId = ProviderAlertId,
    SystemAlertId,
    AlertType,
    ConfidenceLevel,
    ConfidenceScore = tofloat(ConfidenceScore),
    StartTime = todatetime(StartTimeUtc),
    EndTime = todatetime(EndTimeUtc),
    ProcessingEndTime = todatetime(ProcessingEndTime),
    RemediationSteps = tostring(todynamic(RemediationSteps)),
    ExtendedProperties = tostring(todynamic(ExtendedProperties )),
    Entities = tostring(todynamic(Entities)),
    SourceSystem = "Detection",
    ExtendedLinks = tostring(todynamic(ExtendedLinks)),
    ProductName,
    ProductComponentName,
    Status,
    CompromisedEntity,
    Tactics = Intent,
    Techniques = tostring(todynamic(Techniques)),
    SubTechniques = tostring(todynamic(SubTechniques)),
    PartnerId,
    PartnerDisplayName,
    PartnerMetadata = tostring(todynamic(PartnerMetadata)),
    AggregatedSecurityAlertRuleIds,
    AggregatedSecurityAlertRuleNames