| AlertType |
строка |
Имя типа оповещения. Оповещения одного типа должны иметь то же имя. Это поле — строка с ключом, представляющая тип оповещения, а не экземпляр оповещения. Все экземпляры оповещения из одной и той же логики обнаружения или аналитики должны иметь одинаковое значение для типа оповещения. |
| _BilledSize |
real |
Размер записи в байтах |
| ComponentName |
строка |
Имя компонента внутри продукта, создавшего оповещение. Это необязательное поле, которое может быть заполнено только для продукта, в котором внешний конечный пользователь знает о конкретных компонентах в продукте. Для продуктов, которые предлагают различные типы SKU/Bundles, это поле может содержать номер SKU или имя пакета. |
| CreationDateTime |
datetime |
Дата и время создания события (UTC). |
| Description |
строка |
Число байтов, отправленных от источника к месту назначения для соединения или сеанса. |
| DetectionTechnology |
строка |
Необязательное поле для хранения технологии обнаружения угроз оповещений. |
| DisplayName |
строка |
Отображаемое имя оповещения отображается пользователям как есть, так и с дополнительными параметрами. |
| ExtendedProperties |
по строкам |
Контейнер полей, которые будут представлены пользователю. Поставщики могут отправлять здесь любые настраиваемые поля, которые должны быть частью оповещения. |
| FirstActivityDateTime |
datetime |
Время начала оповещения (время первого события или действия, включенного в оповещение). Поле сериализуется в соответствии с ISO8601, включая сведения о часовом поясе UTC. |
| Артикул |
строка |
Уникальный идентификатор для каждого оповещения сетевого доступа. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsPreview |
bool |
IsPreview будет определен как true, где оповещение находится в состоянии общедоступной предварительной версии и пока не имеет права на общедоступную версию. По умолчанию значение равно false. |
| LastActivityDateTime |
datetime |
Время окончания действия оповещения (время последнего события или действия, включенного в оповещение). Поле сериализуется в соответствии с ISO8601, включая сведения о часовом поясе UTC. |
| PolicyId |
строка |
Идентификатор политики, связанный с трафиком сетевого доступа, который создал оповещение. |
| НаименованиеПродукта |
строка |
Имя продукта, публикующего это оповещение, т. е. Центр безопасности Azure, Azure ATP, ATP в Microsoft Defender, O365 ATP, MCAS и т. д. |
| СвязанныеResources |
по строкам |
Список сущностей, связанных с оповещением. Этот список может содержать комбинацию сущностей различных типов. Сущность может иметь любой из типов, определенных в разделе сущностей. Сущности, которые не находятся в приведенном ниже списке, также могут быть отправлены, однако не гарантируется, что они будут обработаны (оповещение не завершится проверкой с новыми типами сущностей). |
| Важность |
строка |
Серьезность оповещения, как сообщается поставщиком. Возможные значения: информационные, низкие, средние, высокие. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SubTechniques |
строка |
Необязательное поле, указывающее цепочку убийств, связанную с вложенными методами оповещения. Каждый вложенный метод должен быть добавлен в этот список с помощью его идентификатора, и он должен иметь по крайней мере одно соответствующее намерение в поле "Намерение". |
| Techniques |
строка |
Необязательное поле, указывающее связанные с оповещением методы, связанные с цепочкой убийств. Каждый метод должен быть добавлен в этот список с его идентификатором, и он должен иметь по крайней мере одно соответствующее намерение в поле "Намерение". Проверка этого поля (ожидаемый формат идентификатора метода и сопоставления с значениями намерений) следует mitRE att@ck корпоративной матрицы (открывается в новом окне или вкладке), а также дополнительные рекомендации по различным методам, составляющим каждое намерение, можно найти в документации MITRE. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время создания события (UTC). |
| Тип |
строка |
Имя таблицы. |
| VendorName |
строка |
Имя поставщика, который вызвал оповещение, это значение отображается пользователям как есть. Для большинства оповещений о внутренних продуктах безопасности оно должно быть задано как Microsoft. |