ThreatIntelligenceIndicator
Wskaźnik analizy zagrożeń
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Akcja | ciąg | Akcja w celu wykonania dopasowania wskaźnika. |
| Aktywna | bool | Wskazuje, czy wskaźnik jest aktywny. |
| ActivityGroupNames | ciąg | Grupy działań skojarzone ze wskaźnikiem. |
| DodatkoweInformacje | ciąg | Bezpłatny tekst dodatkowych informacji dla wskaźnika. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| ConfidenceScore | liczba rzeczywista | Ocena ufności wskaźnika z zakresu od 0 do 100. |
| Opis | ciąg | Opis wskaźnika. |
| DiamondModel | ciąg | Wartość modelu diamentowego dla wskaźnika, jeden z przeciwników, możliwości, infrastruktury lub ofiary. |
| DomainName | ciąg | Nazwa domeny jest zauważalna. |
| E-mailEncoding | ciąg | Kodowanie wiadomości e-mail jest widoczne. |
| Adres e-mailLanguage | ciąg | Język poczty e-mail jest widoczny. |
| EmailRecipient | ciąg | Adresat wiadomości e-mail jest widoczny. |
| EmailSenderAddress | ciąg | Adres nadawcy wiadomości e-mail jest widoczny. |
| EmailSenderName | ciąg | Nazwa nadawcy wiadomości e-mail jest zauważalna. |
| EmailSourceDomain | ciąg | Możliwe jest obserwowanie domeny źródłowej poczty e-mail. |
| EmailSourceIpAddress | ciąg | Adres IP źródła poczty e-mail jest widoczny. |
| Wiadomość e-mailPodsubject | ciąg | Adres e-mail można zaobserwować. |
| EmailXMailer | ciąg | Adres e-mail X-Mailer można zaobserwować. |
| ExpirationDateTime | datetime | Czas wygaśnięcia wskaźnika. |
| ExternalIndicatorId | ciąg | Identyfikator wskaźnika z przesyłania systemu. |
| FileCompileDateTime | datetime | Czas kompilacji pliku można zaobserwować. |
| FileCreatedDateTime | datetime | Czas tworzenia pliku można zaobserwować. |
| FileHashType | ciąg | Można zaobserwować typ skrótu pliku. |
| FileHashValue | ciąg | Wartość skrótu pliku jest zauważalna. |
| FileMutexName | ciąg | Możliwe jest obserwowanie nazwy mutexu pliku. |
| FileName | ciąg | Nazwa pliku jest zauważalna. |
| FilePacker | ciąg | Można zaobserwować program do pakowania plików. |
| Filepath | ciąg | Ścieżka pliku jest zauważalna. |
| FileSize | int | Rozmiar pliku można zaobserwować. |
| Filetype | ciąg | Typ pliku można zaobserwować. |
| Identyfikator wskaźnika | ciąg | Unikatowy identyfikator wskaźnika obliczony przez system odbierający. |
| WskaźnikProvider | ciąg | Nazwa jednostki, która dostarczyła wskaźnik. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| KillChainActions | bool | Wskazuje, czy ustawiono wartość "actions" łańcucha kill. |
| KillChainC2 | bool | Wskazuje, czy wartość łańcucha zabijania "C2" jest ustawiona. |
| KillChainDelivery | bool | Wskazuje, czy wartość łańcucha zabijania "delivery" jest ustawiona. |
| KillChainExploitation | bool | Wskazuje, czy ustawiono wartość łańcucha zabijania "wykorzystanie". |
| KillChainReconnaissance | bool | Wskazuje, czy ustawiono wartość łańcucha kill "reconniassance". |
| KillChainWeaponization | bool | Wskazuje, czy wartość łańcucha zabijania "broń" jest ustawiona. |
| KnownFalsePositives | ciąg | Tekst opisujący sytuacje, w których wskaźnik może powodować fałszywie dodatnie wyniki. |
| Nazwy złośliwego oprogramowania | ciąg | Lista nazw złośliwego oprogramowania skojarzonych ze wskaźnikiem |
| NetworkCidrBlock | ciąg | Można zaobserwować blok CIDR sieci. |
| NetworkDestinationAsn | int | Docelowy numer systemu autonomicznego sieci można zaobserwować. |
| NetworkDestinationCidrBlock | ciąg | Docelowy blok CIDR w sieci można zaobserwować. |
| NetworkDestinationIP | ciąg | Docelowy adres IP sieci. |
| NetworkDestinationPort | int | Port docelowy sieci można zaobserwować. |
| NetworkIP | ciąg | Adres IP sieci można zaobserwować. |
| NetworkPort | int | Można zauważyć port sieciowy. |
| Networkprotocol | int | Można zaobserwować protokół sieciowy. |
| NetworkSourceAsn | int | Numer systemu autonomicznego źródła sieci można zaobserwować. |
| NetworkSourceCidrBlock | ciąg | Widoczny jest blok CIDR źródła sieci. |
| NetworkSourceIP | ciąg | Możliwy do obserwacji źródłowy adres IP źródła sieci. |
| NetworkSourcePort | int | Można zaobserwować port źródłowy sieci. |
| Pasywne | bool | Wskazuje, czy wskaźnik powinien wyzwolić zdarzenie widoczne dla użytkownika. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Tagi | ciąg | Bezpłatne tagi formularzy. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatSeverity | int | Ocena ważności wskaźnika z zakresu od 0 do 5. Wyższa wartość wskazuje większą ważność. |
| ThreatType | ciąg | Typ zagrożenia wskaźnika. |
| TimeGenerated | datetime | Czas pozyskiwania wskaźnika. |
| TrafficLightProtocolLevel | ciąg | Standardowy poziom protokołu sygnalizacji świetlnej w branży, jeden z białych, zielonych, bursztynowych lub czerwonych. |
| Typ | ciąg | Nazwa tabeli |
| Url | ciąg | Adres URL można zaobserwować. |
| Useragent | ciąg | Można zaobserwować agenta użytkownika. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla