AlertEvidence
경고와 연결된 파일, IP 주소, URL, 사용자 또는 디바이스를 포함합니다.
테이블 특성
| attribute |
값 |
| 리소스 종류 |
- |
| 범주 |
보안 |
| 솔루션 |
SecurityInsights |
| 기본 로그 |
아니요 |
| 수집 시간 변환 |
예 |
| 샘플 쿼리 |
예 |
열
| Column |
Type |
설명 |
| AccountDomain |
string |
계정의 도메인입니다. |
| AccountName |
string |
계정의 사용자 이름입니다. |
| AccountObjectId |
string |
Azure Active Directory의 계정에 대한 고유 식별자입니다. |
| AccountSid |
string |
계정의 SID(보안 식별자)입니다. |
| AccountUpn |
string |
계정의 UPN(사용자 계정 이름)입니다. |
| AdditionalFields |
dynamic |
JSON 배열 형식의 이벤트에 대한 추가 정보입니다. |
| AlertId |
string |
경고의 고유 식별자입니다. |
| 애플리케이션 |
string |
기록된 작업을 수행한 애플리케이션입니다. |
| ApplicationId |
int |
애플리케이션의 고유 식별자입니다. |
| AttackTechniques |
string |
경고를 트리거한 활동과 관련된 MITRE ATT&CK 기술입니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| 범주 |
string |
정보가 속하는 범주 목록(JSON 배열 형식)입니다. |
| DetectionSource |
string |
주목할 만한 구성 요소 또는 활동을 식별하는 감지 기술 또는 센서입니다. |
| DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자입니다. |
| DeviceName |
string |
컴퓨터의 FQDN(정규화된 도메인 이름)입니다. |
| EmailSubject |
string |
전자 메일의 제목입니다. |
| EntityType |
string |
파일, 프로세스, 디바이스 또는 사용자와 같은 개체 유형입니다. |
| EvidenceDirection |
string |
엔터티가 네트워크 연결의 원본인지 대상인지 여부를 나타냅니다. |
| EvidenceRole |
string |
엔터티가 경고에 관련되어 영향을 받았는지 아니면 단순히 관련되어 있는지를 나타내는 방법입니다. |
| FileName |
string |
기록된 작업이 적용된 파일의 이름입니다. |
| FileSize |
long |
파일의 크기(바이트). |
| FolderPath |
string |
기록된 작업이 적용된 파일이 포함된 폴더입니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 대한 요금이 청구되지 않습니다. |
| LocalIP |
string |
통신 중에 사용되는 로컬 디바이스에 할당된 IP 주소입니다. |
| NetworkMessageId |
string |
Office 365에서 생성한 전자 메일의 고유 식별자입니다. |
| OAuthApplicationId |
string |
타사 OAuth 애플리케이션의 고유 식별자입니다. |
| ProcessCommandLine |
string |
새 프로세스를 만드는 데 사용되는 명령줄입니다. |
| RegistryKey |
string |
기록된 작업이 적용된 레지스트리 키입니다. |
| RegistryValueData |
string |
기록된 작업이 적용된 레지스트리 값의 데이터입니다. |
| RegistryValueName |
string |
기록된 작업이 적용된 레지스트리 값의 이름입니다. |
| RemoteIP |
string |
연결 중인 IP 주소입니다. |
| RemoteUrl |
string |
연결된 URL 또는 FQDN(정규화된 도메인 이름)입니다. |
| ServiceSource |
string |
경고 정보를 제공한 제품 또는 서비스입니다. |
| SHA1 |
string |
기록된 작업이 적용된 파일의 SHA-1입니다. |
| SHA256 |
string |
기록된 작업이 적용된 파일의 SHA-256입니다. 이 필드는 일반적으로 채워지지 않습니다. 사용 가능한 경우 SHA1 열을 사용합니다. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics용 |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| ThreatFamily |
string |
의심스럽거나 악의적인 파일 또는 프로세스가 분류된 맬웨어 패밀리입니다. |
| TimeGenerated |
날짜/시간 |
레코드가 생성된 날짜 및 시간(UTC)입니다. |
| 제목 |
string |
경고의 제목입니다. |
| Type |
string |
테이블의 이름입니다. |