Watchlist
Azure Sentinel ウォッチリストには、アラート/インシデント条件として参加またはフィルター処理するために使用できる CSV ファイルからインポートされたデータが含まれています。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | はい |
列
Column | Type | 説明 |
---|---|---|
AzureTenantId | string | このウォッチリスト テーブルが属する AAD テナント ID。 |
_BilledSize | real | レコード サイズ (バイト単位) |
CorrelationId | string | 相関性があるイベントの ID。 |
CreatedBy | 動的 | ウォッチリストまたはウォッチリストアイテムを作成したユーザーを含む JSON オブジェクト。オブジェクト ID、電子メール、名前。 |
CreatedTimeUTC | DATETIME | ウォッチリストまたはウォッチリストアイテムが最初に作成された時刻 (UTC)。 |
DefaultDuration | string | Watchlist の各項目が作成時に継承する必要がある既定の有効期間を記述する JSON オブジェクト。 既定の期間の形式は、P(n)Y(n)M(n)DT(n)H(n)M(n)S で、P、Y、M、DT、H、M、S は不変です。 たとえば、P3Y6M4DT12H30M9Sは、3 年、6 か月、4 日間、12 時間、30 分、9 秒の期間を表します。 |
_DTItemId | string | ウォッチリストまたはウォッチリストアイテムの一意の ID。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe' を含めることができます。email:johndoe@contoso.com'. ウォッチリスト アイテムは一意の ID を持ち、ウォッチリストに属します。 含まれているウォッチリストは、'WatchlistId' を使用して識別できます。 |
_DTItemStatus | string | ウォッチリストまたはウォッチリストアイテムがユーザーによって作成、更新、または削除されたか。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe' を含めることができます。email:johndoe@contoso.com'. ウォッチリストが追加された場合、状態は "Created" になります。 ウォッチリストの名前が 'RiskyUsers' から 'RiskyEmployees' に更新された場合、状態は "更新済み" になります。 |
_DTItemType | string | ウォッチリストアイテムとウォッチリストアイテムを区別します。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe' を含めることができます。email:johndoe@contoso.com'. ウォッチリストアイテムタイプはウォッチリストタイプに属し、含むウォッチリストは'WatchlistId'を使用して識別できます。 |
_DTTimestamp | DATETIME | イベントが生成された時刻 (UTC)。 |
EntityMapping | 動的 | 入力列への Azure Sentinel エンティティ マッピングを含む JSON オブジェクト。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
LastUpdatedTimeUTC | DATETIME | ウォッチリストまたはウォッチリストアイテムが最後に更新された時刻 (UTC)。 |
Notes | string | ユーザーが提供するメモ。 |
プロバイダー | string | ウォッチリストの入力プロバイダー。 |
SearchKey | string | SearchKey は、他のデータとの結合にウォッチリストを使用するときにクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、このフィールドを使用して IP アドレスで他のイベント テーブルに結合します。 |
source | string | ウォッチリストの入力ソース。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
タグ | string | ユーザーによって提供されるタグの JSON 配列。 |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | イベントが生成されたときのタイムスタンプ (UTC)。 |
TimeToLive | DATETIME | 日付と時刻 (例: 2020-08-20T17:00:00.9618037Z) で表されるウォッチリスト レコードの有効期間。 元の値はウォッチリストの既定の期間から継承されます。 TimeToLive が渡されると、レコードは削除されたと見なされます。 TimeToLive 値を更新することで、レコードの継続時間をいつでも延長できます。 |
Type | string | テーブルの名前 |
UpdatedBy | 動的 | ウォッチリストまたはウォッチリスト項目を最後に更新したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
WatchlistAlias | string | ウォッチリストを参照する一意の文字列。 |
WatchlistCategory | string | ユーザーが提供するウォッチリスト カテゴリ。 |
WatchlistId | string | Resource Manager ウォッチリスト リソース名。 |
WatchlistItem | 動的 | 入力 Watchlist ソースからのキーと値のペアを持つ JSON オブジェクト。 |
WatchlistItemId | string | ウォッチリスト アイテムの一意の ID。 |
WatchlistName | string | ウォッチリストの表示名。 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示