ConfidentialWatchlist
L'elenco di controllo riservato di Azure Sentinel contiene dati importati da file CSV che possono essere usati per aggiungere o filtrare come condizione di avviso/evento imprevisto.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | No |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AzureTenantId | string | ID tenant di AAD a cui appartiene questa tabella Watchlist. |
| _BilledSize | real | Dimensioni del record in byte |
| CorrelationId | string | L'ID degli eventi correlati. |
| CreatedBy | dinamico | Oggetto JSON con l'utente che ha creato l'elemento Watchlist o Watchlist, tra cui: ID oggetto, posta elettronica e nome. |
| CreatedTimeUTC | Datetime | Ora (UTC) della creazione dell'elemento Watchlist o Watchlist. |
| DefaultDuration | string | L'oggetto JSON che descrive la durata predefinita per la durata in cui ogni elemento di un watchlist deve ereditare alla creazione. La durata predefinita ha questo formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, dove P, Y, M, DT, H, M e S sono invarianti. Ad esempio, P3Y6M4DT12H30M9S rappresenta una durata di tre anni, sei mesi, quattro giorni, dodici ore, trenta minuti e nove secondi. |
| _DTItemId | string | ID univoco dell'elemento Watchlist o Watchlist. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Un elemento Watchlist ha un ID univoco e appartiene a un watchlist. L'oggetto Watchlist contenente può essere identificato usando 'WatchlistId'. |
| _DTItemStatus | string | Elemento Watchlist o Watchlist creato, aggiornato o eliminato dall'utente. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Se viene aggiunto un watchlist, lo stato sarà "Created". Se il nome dell'elenco di controllo viene aggiornato da "RiskyUsers" a "RiskyEmployees", lo stato sarà "Aggiornato". |
| _DTItemType | string | Distinguere tra un watchlist e un elemento Watchlist. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Un tipo di elemento Watchlist appartiene a un tipo Watchlist e l'oggetto Watchlist contenitore può essere identificato usando 'WatchlistId'. |
| _DTTimestamp | Datetime | Ora (UTC) in cui è stato generato l'evento. |
| EntityMapping | dinamico | Oggetto JSON con mapping di entità di Azure Sentinel alle colonne di input. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| LastUpdatedTimeUTC | Datetime | Ora (UTC) dell'ultimo aggiornamento dell'elemento Watchlist o Watchlist. |
| Note | string | Note fornite dall'utente. |
| Provider | string | Provider di input dell'elenco di controllo. |
| SearchKey | string | SearchKey viene usato per ottimizzare le prestazioni delle query quando si usano watchlist per join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare questo campo per creare un join in altre tabelle eventi in base all'indirizzo IP. |
| Source | string | Origine di input dell'elenco espressioni di controllo. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Tag | string | Matrice JSON di tag fornita dall'utente. |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Timestamp (UTC) di quando è stato generato l'evento. |
| timeToLive | Datetime | Tempo di vita per un record Watchlist, espresso come data e ora del giorno (ad esempio 2020-08-20T17:00:00.9618037Z). Il valore originale viene ereditato dalla durata predefinita di Watchlist. Se TimeToLive passa, il record viene considerato eliminato. La durata di un record può essere estesa in qualsiasi momento aggiornando il valore TimeToLive. |
| Type | string | Nome della tabella |
| UpdatedBy | dinamico | Oggetto JSON con l'ultimo utente che ha aggiornato l'elemento Watchlist o Watchlist, tra cui: ID oggetto, posta elettronica e nome. |
| WatchlistAlias | string | Stringa univoca che fa riferimento all'elenco espressioni di controllo. |
| WatchlistCategory | string | Categoria Watchlist fornita dall'utente. |
| WatchlistId | string | Nome della risorsa Resource Manager Watchlist. |
| WatchlistItem | dinamico | Oggetto JSON con coppie chiave-valore dall'origine Watchlist di input. |
| WatchlistItemId | string | ID univoco dell'elemento Watchlist. |
| WatchlistName | string | Nome visualizzato dell'elenco di controllo. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per