ThreatIntelligenceIndicator
Indicatore di Intelligence per le minacce
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Azione | string | Azione da eseguire sulla corrispondenza dell'indicatore. |
| Attivo | bool | Indica se l'indicatore è attivo. |
| ActivityGroupNames | string | Gruppi di attività associati all'indicatore. |
| AdditionalInformation | string | Informazioni aggiuntive sul testo libero per l'indicatore. |
| _BilledSize | real | Dimensioni del record in byte |
| ConfidenceScore | real | Classificazione di attendibilità dell'indicatore, da 0 a 100. |
| Descrizione | string | Descrizione dell'indicatore. |
| DiamondModel | string | Valore del modello di diamante per l'indicatore, uno degli avversari, delle capacità, dell'infrastruttura o della vittima. |
| DomainName | string | Nome di dominio osservabile. |
| EmailEncoding | string | Codifica di posta elettronica osservabile. |
| EmailLanguage | string | Lingua di posta elettronica osservabile. |
| EmailRecipient | string | Destinatario del messaggio di posta elettronica osservabile. |
| EmailSenderAddress | string | Indirizzo del mittente di posta elettronica osservabile. |
| EmailSenderName | string | Nome del mittente di posta elettronica osservabile. |
| EmailSourceDomain | string | Dominio di origine posta elettronica osservabile. |
| EmailSourceIpAddress | string | Indirizzo IP dell'origine di posta elettronica osservabile. |
| EmailSubject | string | Oggetto di posta elettronica osservabile. |
| EmailXMailer | string | Il messaggio di posta elettronica X-Mailer osservabile. |
| ExpirationDateTime | Datetime | Ora di scadenza dell'indicatore. |
| ExternalIndicatorId | string | Identificatore per l'indicatore dall'invio del sistema. |
| FileCompileDateTime | Datetime | Tempo di compilazione file osservabile. |
| FileCreatedDateTime | Datetime | Tempo di creazione file osservabile. |
| FileHashType | string | Tipo di hash del file osservabile. |
| FileHashValue | string | Valore hash del file osservabile. |
| FileMutexName | string | Nome mutex del file osservabile. |
| FileName | string | Nome file osservabile. |
| FilePacker | string | Il file packer osservabile. |
| FilePath | string | Percorso del file osservabile. |
| FileSize | INT | Dimensione del file osservabile. |
| FileType | string | Tipo di file osservabile. |
| IndicatorId | string | Identificatore univoco per l'indicatore, calcolato dal sistema ricevente. |
| IndicatorProvider | string | Nome dell'entità che ha fornito l'indicatore. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| KillChainActions | bool | Indica se il valore della catena di interruzione 'actions' è impostato. |
| KillChainC2 | bool | Indica se il valore della catena di interruzione 'C2' è impostato. |
| KillChainDelivery | bool | Indica se il valore della catena di interruzione 'delivery' è impostato. |
| KillChainExploitation | bool | Indica se è impostato il valore della catena di interruzione 'exploitation'. |
| KillChainReconnaissance | bool | Indica se il valore della catena di terminazione 'reconniassance' è impostato. |
| KillChainWeaponization | bool | Indica se il valore della catena di terminazione è impostato come armamento. |
| KnownFalsePositives | string | Testo che descrive situazioni in cui l'indicatore può causare falsi positivi. |
| MalwareNames | string | Elenco di nomi di malware associati all'indicatore |
| NetworkCidrBlock | string | Blocco CIDR di rete osservabile. |
| NetworkDestinationAsn | INT | Numero di sistema autonomo di destinazione di rete osservabile. |
| NetworkDestinationCidrBlock | string | Blocco CIDR di destinazione di rete osservabile. |
| NetworkDestinationIP | string | Indirizzo IP di destinazione di rete. |
| NetworkDestinationPort | INT | Porta di destinazione di rete osservabile. |
| NetworkIP | string | Indirizzo IP di rete osservabile. |
| NetworkPort | INT | Porta di rete osservabile. |
| NetworkProtocol | INT | Il protocollo di rete osservabile. |
| NetworkSourceAsn | INT | Numero di sistema autonomo dell'origine di rete osservabile. |
| NetworkSourceCidrBlock | string | Blocco CIDR dell'origine di rete osservabile. |
| NetworkSourceIP | string | Indirizzo IP dell'origine di rete osservabile. |
| NetworkSourcePort | INT | Porta di origine di rete osservabile. |
| PassiveOnly | bool | Indica se l'indicatore deve attivare un evento visibile a un utente. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| Tag | string | Tag in formato libero. |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatSeverity | INT | Valutazione della gravità dell'indicatore da 0 a 5. Il valore più alto indica una gravità maggiore. |
| ThreatType | string | Tipo di minaccia dell'indicatore. |
| TimeGenerated | Datetime | Tempo di inserimento dell'indicatore. |
| TrafficLightProtocolLevel | string | Livello di protocollo del traffico standard del settore, uno di bianco, verde, ambra o rosso. |
| Type | string | Nome della tabella |
| URL | string | Url osservabile. |
| UserAgent | string | L'agente utente osservabile. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per