AlertEvidence
Obejmuje pliki, adresy IP, adresy URL, użytkowników lub urządzenia skojarzone z alertami.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AccountDomain | ciąg | Domena konta. |
| AccountName | ciąg | Nazwa użytkownika konta. |
| AccountObjectId | ciąg | Unikatowy identyfikator konta w usłudze Azure Active Directory. |
| AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
| AccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o zdarzeniu w formacie tablicy JSON. |
| AlertId | ciąg | Unikatowy identyfikator alertu. |
| Aplikacja | ciąg | Aplikacja, która wykonała zarejestrowaną akcję. |
| ApplicationId | int | Unikatowy identyfikator aplikacji. |
| Techniki ataków | ciąg | MITRE ATT&techniki CK skojarzone z działaniem, które wyzwoliło alert. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| Kategorie | ciąg | Lista kategorii, do których należą informacje, w formacie tablicy JSON. |
| DetectionSource | ciąg | Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie. |
| DeviceId | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| DeviceName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) maszyny. |
| Wiadomość e-mailPodsubject | ciąg | Temat wiadomości e-mail. |
| Typ obiektu | ciąg | Typ obiektu, takiego jak plik, proces, urządzenie lub użytkownik. |
| EvidenceDirection | ciąg | Wskazuje, czy jednostka jest źródłem, czy miejscem docelowym połączenia sieciowego. |
| EvidenceRole | ciąg | Sposób, w jaki jednostka jest zaangażowana w alert, wskazując, czy ma to wpływ, czy jest tylko powiązana. |
| FileName | ciąg | Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| FileSize | długi | Rozmiar pliku w bajtach. |
| Folderpath | ciąg | Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LocalIP | ciąg | Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji. |
| NetworkMessageId | ciąg | Unikatowy identyfikator wiadomości e-mail generowany przez Office 365. |
| OAuthApplicationId | ciąg | Unikatowy identyfikator aplikacji OAuth innej firmy. |
| ProcessCommandLine | ciąg | Wiersz polecenia służący do tworzenia nowego procesu. |
| Registrykey | ciąg | Klucz rejestru, do którego zastosowano zarejestrowaną akcję. |
| RegistryValueData | ciąg | Dane wartości rejestru, do których zastosowano zarejestrowaną akcję. |
| RegistryValueName | ciąg | Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję. |
| RemoteIP | ciąg | Adres IP, z który był połączony. |
| RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie. |
| ServiceSource | ciąg | Produkt lub usługa, która dostarczyła informacje o alercie. |
| SHA1 | ciąg | Sha-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatFamily | ciąg | Rodzina złośliwego oprogramowania, w której sklasyfikowano podejrzany lub złośliwy plik lub proces. |
| TimeGenerated | datetime | Data i godzina (UTC) podczas generowania rekordu. |
| Tytuł | ciąg | Tytuł alertu. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla