AlertEvidence
경고와 연결된 파일, IP 주소, URL, 사용자 또는 디바이스를 포함합니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | 예 |
열
열 | 형식 | Description |
---|---|---|
AccountDomain | 문자열 | 계정의 도메인입니다. |
AccountName | string | 계정의 사용자 이름입니다. |
AccountObjectId | 문자열 | Azure Active Directory의 계정에 대한 고유 식별자입니다. |
AccountSid | 문자열 | 계정의 SID(보안 식별자)입니다. |
AccountUpn | 문자열 | 계정의 UPN(사용자 계정 이름)입니다. |
AdditionalFields | 동적 | JSON 배열 형식의 이벤트에 대한 추가 정보입니다. |
AlertId | string | 경고의 고유 식별자입니다. |
애플리케이션 | 문자열 | 기록된 작업을 수행한 애플리케이션입니다. |
ApplicationId | Int | 애플리케이션의 고유 식별자입니다. |
AttackTechniques | string | MITRE ATT는 경고를 트리거한 활동과 관련된 CK 기술을&. |
_BilledSize | real | 레코드 크기(바이트) |
범주 | string | 정보가 속한 범주 목록(JSON 배열 형식)입니다. |
DetectionSource | 문자열 | 주목할 만한 구성 요소 또는 활동을 식별한 감지 기술 또는 센서입니다. |
DeviceId | 문자열 | 서비스의 디바이스에 대한 고유 식별자입니다. |
DeviceName | 문자열 | 컴퓨터의 FQDN(정규화된 도메인 이름)입니다. |
EmailSubject | 문자열 | 전자 메일의 제목입니다. |
EntityType | string | 파일, 프로세스, 디바이스 또는 사용자와 같은 개체 유형입니다. |
EvidenceDirection | 문자열 | 엔터티가 네트워크 연결의 원본인지 아니면 대상인지를 나타냅니다. |
EvidenceRole | 문자열 | 엔터티가 경고에 참여하는 방식- 영향을 받는지 아니면 단순히 관련되어 있는지를 나타냅니다. |
FileName | string | 기록된 작업이 적용된 파일의 이름입니다. |
FileSize | long | 파일 크기(바이트)입니다. |
FolderPath | string | 기록된 작업이 적용된 파일이 포함된 폴더입니다. |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
LocalIP | 문자열 | 통신 중에 사용되는 로컬 디바이스에 할당된 IP 주소입니다. |
NetworkMessageId | 문자열 | Office 365 생성된 전자 메일의 고유 식별자입니다. |
OAuthApplicationId | 문자열 | 타사 OAuth 애플리케이션의 고유 식별자입니다. |
ProcessCommandLine | 문자열 | 새 프로세스를 만드는 데 사용되는 명령줄입니다. |
RegistryKey | string | 기록된 작업이 적용된 레지스트리 키입니다. |
RegistryValueData | 문자열 | 기록된 작업이 적용된 레지스트리 값의 데이터입니다. |
RegistryValueName | 문자열 | 기록된 작업이 적용된 레지스트리 값의 이름입니다. |
RemoteIP | 문자열 | 연결되고 있던 IP 주소입니다. |
RemoteUrl | string | 연결된 URL 또는 FQDN(정규화된 도메인 이름)입니다. |
ServiceSource | string | 경고 정보를 제공한 제품 또는 서비스입니다. |
SHA1 | string | 기록된 작업이 적용된 파일의 SHA-1입니다. |
SHA256 | string | 기록된 작업이 적용된 파일의 SHA-256입니다. 이 필드는 일반적으로 채워지지 않습니다. 사용 가능한 경우 SHA1 열을 사용합니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
ThreatFamily | 문자열 | 의심스럽거나 악의적인 파일 또는 프로세스가 분류된 맬웨어 패밀리입니다. |
TimeGenerated | Datetime | 레코드가 생성된 날짜 및 시간(UTC)입니다. |
제목 | 문자열 | 경고의 제목입니다. |
Type | 문자열 | 테이블의 이름입니다. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기