AlertEvidence
Obejmuje pliki, adresy IP, adresy URL, użytkowników lub urządzenia skojarzone z alertami.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
AccountDomain | ciąg | Domena konta. |
AccountName | ciąg | Nazwa użytkownika konta. |
AccountObjectId | ciąg | Unikatowy identyfikator konta w usłudze Azure Active Directory. |
AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
AccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta. |
Dodatkowe pola | dynamiczna | Dodatkowe informacje o zdarzeniu w formacie tablicy JSON. |
AlertId | ciąg | Unikatowy identyfikator alertu. |
Aplikacja | ciąg | Aplikacja, która wykonała zarejestrowaną akcję. |
ApplicationId | int | Unikatowy identyfikator aplikacji. |
Techniki ataków | ciąg | MITRE ATT&techniki CK skojarzone z działaniem, które wyzwoliło alert. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
Kategorie | ciąg | Lista kategorii, do których należą informacje, w formacie tablicy JSON. |
DetectionSource | ciąg | Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie. |
DeviceId | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
DeviceName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) maszyny. |
Wiadomość e-mailPodsubject | ciąg | Temat wiadomości e-mail. |
Typ obiektu | ciąg | Typ obiektu, takiego jak plik, proces, urządzenie lub użytkownik. |
EvidenceDirection | ciąg | Wskazuje, czy jednostka jest źródłem, czy miejscem docelowym połączenia sieciowego. |
EvidenceRole | ciąg | Sposób, w jaki jednostka jest zaangażowana w alert, wskazując, czy ma to wpływ, czy jest tylko powiązana. |
FileName | ciąg | Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
FileSize | długi | Rozmiar pliku w bajtach. |
Folderpath | ciąg | Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
LocalIP | ciąg | Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji. |
NetworkMessageId | ciąg | Unikatowy identyfikator wiadomości e-mail generowany przez Office 365. |
OAuthApplicationId | ciąg | Unikatowy identyfikator aplikacji OAuth innej firmy. |
ProcessCommandLine | ciąg | Wiersz polecenia służący do tworzenia nowego procesu. |
Registrykey | ciąg | Klucz rejestru, do którego zastosowano zarejestrowaną akcję. |
RegistryValueData | ciąg | Dane wartości rejestru, do których zastosowano zarejestrowaną akcję. |
RegistryValueName | ciąg | Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję. |
RemoteIP | ciąg | Adres IP, z który był połączony. |
RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie. |
ServiceSource | ciąg | Produkt lub usługa, która dostarczyła informacje o alercie. |
SHA1 | ciąg | Sha-1 pliku, do którego zastosowano zarejestrowaną akcję. |
SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatFamily | ciąg | Rodzina złośliwego oprogramowania, w której sklasyfikowano podejrzany lub złośliwy plik lub proces. |
TimeGenerated | datetime | Data i godzina (UTC) podczas generowania rekordu. |
Tytuł | ciąg | Tytuł alertu. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla