Poufne Lista zegarków
Poufne listy obserwowanych usługi Azure Sentinel zawierają zaimportowane dane z plików CSV, których można użyć do dołączenia lub filtrowania jako warunku alertu/zdarzenia.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Nie |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AzureTenantId | ciąg | Identyfikator dzierżawy usługi AAD, do którego należy ta tabela Watchlist. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| CorrelationId | ciąg | Identyfikator skorelowanych zdarzeń. |
| Createdby | dynamiczna | Obiekt JSON z użytkownikiem, który utworzył element Lista obserwowana lub Lista obserwowana, w tym: Identyfikator obiektu, adres e-mail i nazwa. |
| CreatedTimeUTC | datetime | Godzina (UTC) utworzenia elementu Lista do obejrzenia lub Lista obserwowana. |
| Wartość domyślna | ciąg | Obiekt JSON opisujący domyślny czas trwania, który będzie żył, że każdy element listy obserwowanych powinien dziedziczyć po utworzeniu. Domyślny czas trwania ma następujący format: P(n)Y(n)M(n)DT(n)H(n)M(n)S, gdzie P, Y, M, DT, H, M i S są niezmienne. Na przykład P3Y6M4DT12H30M9S reprezentuje czas trwania trzech lat, sześć miesięcy, cztery dni, dwanaście godzin, trzydzieści minut i dziewięć sekund. |
| _DTItemId | ciąg | Unikatowy identyfikator elementu lista obserwowanych lub lista obserwowanych. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Element listy obserwowanych ma unikatowy identyfikator i należy do listy obserwowanych. Zawierająca lista obserwowanych może identyfikować się przy użyciu identyfikatora "WatchlistId". |
| _DTItemStatus | ciąg | Czy element lista obserwowanych lub lista obserwowanych została utworzona, zaktualizowana lub usunięta przez użytkownika. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Jeśli zostanie dodana lista obserwowanych, stan będzie miał wartość "Utworzono". Jeśli nazwa listy obserwowanych zostanie zaktualizowana z "RiskyUsers" na "RiskyEmployees", stan będzie "Zaktualizowany". |
| _DTItemType | ciąg | Rozróżnianie listy obserwowanych i elementu listy obserwowanych. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Typ elementu lista obserwowanych będzie należeć do typu lista obserwowanych, a zawierająca lista obserwowanych może być identyfikowana przy użyciu identyfikatora "WatchlistId". |
| _DTTimestamp | datetime | Godzina (UTC) wygenerowania zdarzenia. |
| EntityMapping | dynamiczna | Obiekt JSON z mapowaniem jednostki usługi Azure Sentinel na kolumny wejściowe. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LastUpdatedTimeUTC | datetime | Godzina (UTC) ostatniej aktualizacji elementu listy obserwowanych lub listy obserwowanych. |
| Uwagi | ciąg | Notatki udostępniane przez użytkownika. |
| Dostawca | ciąg | Dostawca danych wejściowych listy obserwowanych. |
| Klucz wyszukiwania | ciąg | Klucz wyszukiwania służy do optymalizowania wydajności zapytań podczas używania list kontrolnych do sprzężeń z innymi danymi. Na przykład włącz kolumnę z adresami IP jako wyznaczone pole SearchKey, a następnie użyj tego pola do sprzężenia w innych tabelach zdarzeń według adresu IP. |
| Source | ciąg | Źródło danych wejściowych listy obserwowanych. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Tagi | ciąg | Tablica JSON tagów udostępnianych przez użytkownika. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Sygnatura czasowa (UTC) czasu wygenerowania zdarzenia. |
| TimeToLive | datetime | Czas wygaśnięcia rekordu watchlist, wyrażony jako data i godzina dnia (np. 2020-08-20T17:00:00.9618037Z). Jego oryginalna wartość jest dziedziczona z domyślnego czasu trwania listy obserwowanych. Jeśli funkcja TimeToLive przejdzie, rekord zostanie uznany za usunięty. Czas trwania rekordu można rozszerzyć w dowolnym momencie, aktualizując wartość TimeToLive. |
| Typ | ciąg | Nazwa tabeli |
| Zaktualizowano przez | dynamiczna | Obiekt JSON z użytkownikiem, który ostatnio zaktualizował element lista obserwowanych lub lista obserwowanych, w tym: Identyfikator obiektu, adres e-mail i nazwa. |
| WatchlistAlias | ciąg | Unikatowy ciąg odwołujący się do listy obserwowanych. |
| Lista do obejrzeniaCategory | ciąg | Kategoria Lista obserwowana podana przez użytkownika. |
| WatchlistId | ciąg | Nazwa zasobu Resource Manager Watchlist. |
| WatchlistItem | dynamiczna | Obiekt JSON z parami klucz-wartość ze źródła wejściowej listy kontrolnej. |
| WatchlistItemId | ciąg | Unikatowy identyfikator elementu listy obserwowanych. |
| WatchlistName | ciąg | Nazwa wyświetlana listy obserwowanych. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla