ThreatIntelligenceIndicator
Indicatore di Intelligence per le minacce
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
Azione | string | Azione da eseguire sulla corrispondenza dell'indicatore. |
Attivo | bool | Indica se l'indicatore è attivo. |
ActivityGroupNames | string | Gruppi di attività associati all'indicatore. |
AdditionalInformation | string | Informazioni aggiuntive sul testo libero per l'indicatore. |
_BilledSize | real | Dimensioni del record in byte |
ConfidenceScore | real | Classificazione di attendibilità dell'indicatore, da 0 a 100. |
Descrizione | string | Descrizione dell'indicatore. |
DiamondModel | string | Valore del modello di diamante per l'indicatore, uno degli avversari, delle capacità, dell'infrastruttura o della vittima. |
DomainName | string | Nome di dominio osservabile. |
EmailEncoding | string | Codifica di posta elettronica osservabile. |
EmailLanguage | string | Lingua di posta elettronica osservabile. |
EmailRecipient | string | Destinatario del messaggio di posta elettronica osservabile. |
EmailSenderAddress | string | Indirizzo del mittente di posta elettronica osservabile. |
EmailSenderName | string | Nome del mittente di posta elettronica osservabile. |
EmailSourceDomain | string | Dominio di origine posta elettronica osservabile. |
EmailSourceIpAddress | string | Indirizzo IP dell'origine di posta elettronica osservabile. |
EmailSubject | string | Oggetto di posta elettronica osservabile. |
EmailXMailer | string | Il messaggio di posta elettronica X-Mailer osservabile. |
ExpirationDateTime | Datetime | Ora di scadenza dell'indicatore. |
ExternalIndicatorId | string | Identificatore per l'indicatore dall'invio del sistema. |
FileCompileDateTime | Datetime | Tempo di compilazione file osservabile. |
FileCreatedDateTime | Datetime | Tempo di creazione file osservabile. |
FileHashType | string | Tipo di hash del file osservabile. |
FileHashValue | string | Valore hash del file osservabile. |
FileMutexName | string | Nome mutex del file osservabile. |
FileName | string | Nome file osservabile. |
FilePacker | string | Il file packer osservabile. |
FilePath | string | Percorso del file osservabile. |
FileSize | INT | Dimensione del file osservabile. |
FileType | string | Tipo di file osservabile. |
IndicatorId | string | Identificatore univoco per l'indicatore, calcolato dal sistema ricevente. |
IndicatorProvider | string | Nome dell'entità che ha fornito l'indicatore. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
KillChainActions | bool | Indica se il valore della catena di interruzione 'actions' è impostato. |
KillChainC2 | bool | Indica se il valore della catena di interruzione 'C2' è impostato. |
KillChainDelivery | bool | Indica se il valore della catena di interruzione 'delivery' è impostato. |
KillChainExploitation | bool | Indica se è impostato il valore della catena di interruzione 'exploitation'. |
KillChainReconnaissance | bool | Indica se il valore della catena di terminazione 'reconniassance' è impostato. |
KillChainWeaponization | bool | Indica se il valore della catena di terminazione è impostato come armamento. |
KnownFalsePositives | string | Testo che descrive situazioni in cui l'indicatore può causare falsi positivi. |
MalwareNames | string | Elenco di nomi di malware associati all'indicatore |
NetworkCidrBlock | string | Blocco CIDR di rete osservabile. |
NetworkDestinationAsn | INT | Numero di sistema autonomo di destinazione di rete osservabile. |
NetworkDestinationCidrBlock | string | Blocco CIDR di destinazione di rete osservabile. |
NetworkDestinationIP | string | Indirizzo IP di destinazione di rete. |
NetworkDestinationPort | INT | Porta di destinazione di rete osservabile. |
NetworkIP | string | Indirizzo IP di rete osservabile. |
NetworkPort | INT | Porta di rete osservabile. |
NetworkProtocol | INT | Il protocollo di rete osservabile. |
NetworkSourceAsn | INT | Numero di sistema autonomo dell'origine di rete osservabile. |
NetworkSourceCidrBlock | string | Blocco CIDR dell'origine di rete osservabile. |
NetworkSourceIP | string | Indirizzo IP dell'origine di rete osservabile. |
NetworkSourcePort | INT | Porta di origine di rete osservabile. |
PassiveOnly | bool | Indica se l'indicatore deve attivare un evento visibile a un utente. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
Tag | string | Tag in formato libero. |
TenantId | string | ID area di lavoro Log Analytics |
ThreatSeverity | INT | Valutazione della gravità dell'indicatore da 0 a 5. Il valore più alto indica una gravità maggiore. |
ThreatType | string | Tipo di minaccia dell'indicatore. |
TimeGenerated | Datetime | Tempo di inserimento dell'indicatore. |
TrafficLightProtocolLevel | string | Livello di protocollo del traffico standard del settore, uno di bianco, verde, ambra o rosso. |
Type | string | Nome della tabella |
URL | string | Url osservabile. |
UserAgent | string | L'agente utente osservabile. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per