Poufne Lista zegarków
Poufne listy obserwowanych usługi Azure Sentinel zawierają zaimportowane dane z plików CSV, których można użyć do dołączenia lub filtrowania jako warunku alertu/zdarzenia.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Nie |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
AzureTenantId | ciąg | Identyfikator dzierżawy usługi AAD, do którego należy ta tabela Watchlist. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
CorrelationId | ciąg | Identyfikator skorelowanych zdarzeń. |
Createdby | dynamiczna | Obiekt JSON z użytkownikiem, który utworzył element Lista obserwowana lub Lista obserwowana, w tym: Identyfikator obiektu, adres e-mail i nazwa. |
CreatedTimeUTC | datetime | Godzina (UTC) utworzenia elementu Lista do obejrzenia lub Lista obserwowana. |
Wartość domyślna | ciąg | Obiekt JSON opisujący domyślny czas trwania, który będzie żył, że każdy element listy obserwowanych powinien dziedziczyć po utworzeniu. Domyślny czas trwania ma następujący format: P(n)Y(n)M(n)DT(n)H(n)M(n)S, gdzie P, Y, M, DT, H, M i S są niezmienne. Na przykład P3Y6M4DT12H30M9S reprezentuje czas trwania trzech lat, sześć miesięcy, cztery dni, dwanaście godzin, trzydzieści minut i dziewięć sekund. |
_DTItemId | ciąg | Unikatowy identyfikator elementu lista obserwowanych lub lista obserwowanych. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Element listy obserwowanych ma unikatowy identyfikator i należy do listy obserwowanych. Zawierająca lista obserwowanych może identyfikować się przy użyciu identyfikatora "WatchlistId". |
_DTItemStatus | ciąg | Czy element lista obserwowanych lub lista obserwowanych została utworzona, zaktualizowana lub usunięta przez użytkownika. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Jeśli zostanie dodana lista obserwowanych, stan będzie miał wartość "Utworzono". Jeśli nazwa listy obserwowanych zostanie zaktualizowana z "RiskyUsers" na "RiskyEmployees", stan będzie "Zaktualizowany". |
_DTItemType | ciąg | Rozróżnianie listy obserwowanych i elementu listy obserwowanych. Na przykład lista obserwowana "RiskyUsers" może zawierać element listy kontrolnej "Name:John Doe; email:johndoe@contoso.com'. Typ elementu lista obserwowanych będzie należeć do typu lista obserwowanych, a zawierająca lista obserwowanych może być identyfikowana przy użyciu identyfikatora "WatchlistId". |
_DTTimestamp | datetime | Godzina (UTC) wygenerowania zdarzenia. |
EntityMapping | dynamiczna | Obiekt JSON z mapowaniem jednostki usługi Azure Sentinel na kolumny wejściowe. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
LastUpdatedTimeUTC | datetime | Godzina (UTC) ostatniej aktualizacji elementu listy obserwowanych lub listy obserwowanych. |
Uwagi | ciąg | Notatki udostępniane przez użytkownika. |
Dostawca | ciąg | Dostawca danych wejściowych listy obserwowanych. |
Klucz wyszukiwania | ciąg | Klucz wyszukiwania służy do optymalizowania wydajności zapytań podczas używania list kontrolnych do sprzężeń z innymi danymi. Na przykład włącz kolumnę z adresami IP jako wyznaczone pole SearchKey, a następnie użyj tego pola do sprzężenia w innych tabelach zdarzeń według adresu IP. |
Source | ciąg | Źródło danych wejściowych listy obserwowanych. |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
Tagi | ciąg | Tablica JSON tagów udostępnianych przez użytkownika. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
TimeGenerated | datetime | Sygnatura czasowa (UTC) czasu wygenerowania zdarzenia. |
TimeToLive | datetime | Czas wygaśnięcia rekordu watchlist, wyrażony jako data i godzina dnia (np. 2020-08-20T17:00:00.9618037Z). Jego oryginalna wartość jest dziedziczona z domyślnego czasu trwania listy obserwowanych. Jeśli funkcja TimeToLive przejdzie, rekord zostanie uznany za usunięty. Czas trwania rekordu można rozszerzyć w dowolnym momencie, aktualizując wartość TimeToLive. |
Typ | ciąg | Nazwa tabeli |
Zaktualizowano przez | dynamiczna | Obiekt JSON z użytkownikiem, który ostatnio zaktualizował element lista obserwowanych lub lista obserwowanych, w tym: Identyfikator obiektu, adres e-mail i nazwa. |
WatchlistAlias | ciąg | Unikatowy ciąg odwołujący się do listy obserwowanych. |
Lista do obejrzeniaCategory | ciąg | Kategoria Lista obserwowana podana przez użytkownika. |
WatchlistId | ciąg | Nazwa zasobu Resource Manager Watchlist. |
WatchlistItem | dynamiczna | Obiekt JSON z parami klucz-wartość ze źródła wejściowej listy kontrolnej. |
WatchlistItemId | ciąg | Unikatowy identyfikator elementu listy obserwowanych. |
WatchlistName | ciąg | Nazwa wyświetlana listy obserwowanych. |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla