ThreatIntelligenceIndicator
위협 인텔리전스 지표
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | - |
| 범주 | 보안 |
| 솔루션 | SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | Yes |
| 샘플 쿼리 | - |
열
| 열 | 형식 | 설명 |
|---|---|---|
| 작업 | 문자열 | 지표 일치에 대해 수행할 작업입니다. |
| Active | bool | 표시기가 활성 상태인지 여부를 나타냅니다. |
| ActivityGroupNames | string | 표시기와 연결된 활동 그룹입니다. |
| AdditionalInformation | 문자열 | 표시기용 무료 텍스트 추가 정보입니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| ConfidenceScore | real | 지표의 신뢰 등급(0에서 100까지)입니다. |
| Description | 문자열 | 지표에 대한 설명입니다. |
| DiamondModel | 문자열 | 지표, 악의적, 기능, 인프라 또는 피해자 중 하나에 대한 다이아몬드 모델 값입니다. |
| DomainName | string | 관찰 가능한 도메인 이름입니다. |
| EmailEncoding | 문자열 | 관찰 가능한 전자 메일 인코딩입니다. |
| EmailLanguage | 문자열 | 관찰 가능한 전자 메일 언어입니다. |
| EmailRecipient | 문자열 | 관찰 가능한 전자 메일 받는 사람입니다. |
| EmailSenderAddress | 문자열 | 관찰 가능한 전자 메일 보낸 사람 주소입니다. |
| EmailSenderName | 문자열 | 관찰 가능한 전자 메일 보낸 사람 이름입니다. |
| EmailSourceDomain | 문자열 | 관찰 가능한 전자 메일 원본 도메인입니다. |
| EmailSourceIpAddress | 문자열 | 관찰 가능한 전자 메일 원본 IP 주소입니다. |
| EmailSubject | 문자열 | 관찰 가능한 전자 메일 제목입니다. |
| EmailXMailer | 문자열 | X-Mailer를 관찰할 수 있는 이메일입니다. |
| ExpirationDateTime | Datetime | 표시기 만료 시간입니다. |
| ExternalIndicatorId | string | 시스템 제출의 표시기 식별자입니다. |
| FileCompileDateTime | Datetime | 관찰 가능한 파일 컴파일 시간입니다. |
| FileCreatedDateTime | Datetime | 파일 생성 시간을 관찰할 수 있습니다. |
| FileHashType | string | 관찰 가능한 파일 해시 형식입니다. |
| FileHashValue | 문자열 | 관찰 가능한 파일 해시 값입니다. |
| FileMutexName | 문자열 | 관찰 가능한 파일 뮤텍스 이름입니다. |
| FileName | string | 관찰 가능한 파일 이름입니다. |
| FilePacker | 문자열 | 관찰 가능한 파일 패커입니다. |
| FilePath | 문자열 | 관찰 가능한 파일 경로입니다. |
| FileSize | int | 관찰 가능한 파일 크기입니다. |
| FileType | 문자열 | 관찰 가능한 파일 형식입니다. |
| IndicatorId | string | 시스템을 수신하여 계산되는 지표의 고유 식별자입니다. |
| IndicatorProvider | string | 표시기를 제공한 엔터티의 이름입니다. |
| _IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
| KillChainActions | bool | 킬 체인 값 'actions'가 설정되었는지 여부를 나타냅니다. |
| KillChainC2 | bool | 킬 체인 값 'C2'가 설정되었는지 여부를 나타냅니다. |
| KillChainDelivery | bool | 킬 체인 값 'delivery'가 설정되었는지 여부를 나타냅니다. |
| KillChainExploitation | bool | 킬 체인 값 '악용'이 설정되었는지 여부를 나타냅니다. |
| KillChainReconnaissance | bool | 킬 체인 값 'reconniassance'가 설정되었는지 여부를 나타냅니다. |
| KillChainWeaponization | bool | 킬 체인 값 '무기화'가 설정되었는지 여부를 나타냅니다. |
| KnownFalsePositives | 문자열 | 표시기가 가양성으로 인해 발생할 수 있는 상황을 설명하는 텍스트입니다. |
| MalwareNames | 문자열 | 표시기와 연결된 맬웨어 이름 목록 |
| NetworkCidrBlock | 문자열 | 네트워크 CIDR 블록을 관찰할 수 있습니다. |
| NetworkDestinationAsn | int | 관찰 가능한 네트워크 대상 자율 시스템 번호입니다. |
| NetworkDestinationCidrBlock | 문자열 | 네트워크 대상 CIDR 블록 관찰 가능. |
| NetworkDestinationIP | 문자열 | 네트워크 대상 IP 주소입니다. |
| NetworkDestinationPort | int | 관찰 가능한 네트워크 대상 포트입니다. |
| NetworkIP | 문자열 | 관찰 가능한 네트워크 IP 주소입니다. |
| NetworkPort | int | 관찰 가능한 네트워크 포트입니다. |
| NetworkProtocol | int | 관찰 가능한 네트워크 프로토콜입니다. |
| NetworkSourceAsn | int | 관찰 가능한 네트워크 원본 자율 시스템 번호입니다. |
| NetworkSourceCidrBlock | 문자열 | 네트워크 원본 CIDR 블록을 관찰할 수 있습니다. |
| NetworkSourceIP | 문자열 | 관찰 가능한 네트워크 원본 IP 주소입니다. |
| NetworkSourcePort | int | 관찰 가능한 네트워크 원본 포트입니다. |
| PassiveOnly | bool | 표시기가 사용자에게 표시되는 이벤트를 트리거해야 하는지 여부를 나타냅니다. |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| 태그 | string | 자유 형식 태그입니다. |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| ThreatSeverity | int | 지표 심각도 등급은 0에서 5까지입니다. 값이 높을수록 심각도가 높아질 수 있습니다. |
| ThreatType | 문자열 | 지표의 위협 유형입니다. |
| TimeGenerated | Datetime | 표시기 수집 시간입니다. |
| TrafficLightProtocolLevel | 문자열 | 산업 표준 신호등 프로토콜 수준, 흰색, 녹색, 황색 또는 빨간색 중 하나입니다. |
| Type | 문자열 | 테이블의 이름입니다. |
| Url | 문자열 | 관찰 가능한 URL입니다. |
| UserAgent | 문자열 | 관찰 가능한 사용자 에이전트입니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기