ThreatIntelligenceIndicator
Wskaźnik analizy zagrożeń
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
Akcja | ciąg | Akcja w celu wykonania dopasowania wskaźnika. |
Aktywna | bool | Wskazuje, czy wskaźnik jest aktywny. |
ActivityGroupNames | ciąg | Grupy działań skojarzone ze wskaźnikiem. |
DodatkoweInformacje | ciąg | Bezpłatny tekst dodatkowych informacji dla wskaźnika. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
ConfidenceScore | liczba rzeczywista | Ocena ufności wskaźnika z zakresu od 0 do 100. |
Opis | ciąg | Opis wskaźnika. |
DiamondModel | ciąg | Wartość modelu diamentowego dla wskaźnika, jeden z przeciwników, możliwości, infrastruktury lub ofiary. |
DomainName | ciąg | Nazwa domeny jest zauważalna. |
E-mailEncoding | ciąg | Kodowanie wiadomości e-mail jest widoczne. |
Adres e-mailLanguage | ciąg | Język poczty e-mail jest widoczny. |
EmailRecipient | ciąg | Adresat wiadomości e-mail jest widoczny. |
EmailSenderAddress | ciąg | Adres nadawcy wiadomości e-mail jest widoczny. |
EmailSenderName | ciąg | Nazwa nadawcy wiadomości e-mail jest zauważalna. |
EmailSourceDomain | ciąg | Możliwe jest obserwowanie domeny źródłowej poczty e-mail. |
EmailSourceIpAddress | ciąg | Adres IP źródła poczty e-mail jest widoczny. |
Wiadomość e-mailPodsubject | ciąg | Adres e-mail można zaobserwować. |
EmailXMailer | ciąg | Adres e-mail X-Mailer można zaobserwować. |
ExpirationDateTime | datetime | Czas wygaśnięcia wskaźnika. |
ExternalIndicatorId | ciąg | Identyfikator wskaźnika z przesyłania systemu. |
FileCompileDateTime | datetime | Czas kompilacji pliku można zaobserwować. |
FileCreatedDateTime | datetime | Czas tworzenia pliku można zaobserwować. |
FileHashType | ciąg | Można zaobserwować typ skrótu pliku. |
FileHashValue | ciąg | Wartość skrótu pliku jest zauważalna. |
FileMutexName | ciąg | Możliwe jest obserwowanie nazwy mutexu pliku. |
FileName | ciąg | Nazwa pliku jest zauważalna. |
FilePacker | ciąg | Można zaobserwować program do pakowania plików. |
Filepath | ciąg | Ścieżka pliku jest zauważalna. |
FileSize | int | Rozmiar pliku można zaobserwować. |
Filetype | ciąg | Typ pliku można zaobserwować. |
Identyfikator wskaźnika | ciąg | Unikatowy identyfikator wskaźnika obliczony przez system odbierający. |
WskaźnikProvider | ciąg | Nazwa jednostki, która dostarczyła wskaźnik. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
KillChainActions | bool | Wskazuje, czy ustawiono wartość "actions" łańcucha kill. |
KillChainC2 | bool | Wskazuje, czy wartość łańcucha zabijania "C2" jest ustawiona. |
KillChainDelivery | bool | Wskazuje, czy wartość łańcucha zabijania "delivery" jest ustawiona. |
KillChainExploitation | bool | Wskazuje, czy ustawiono wartość łańcucha zabijania "wykorzystanie". |
KillChainReconnaissance | bool | Wskazuje, czy ustawiono wartość łańcucha kill "reconniassance". |
KillChainWeaponization | bool | Wskazuje, czy wartość łańcucha zabijania "broń" jest ustawiona. |
KnownFalsePositives | ciąg | Tekst opisujący sytuacje, w których wskaźnik może powodować fałszywie dodatnie wyniki. |
Nazwy złośliwego oprogramowania | ciąg | Lista nazw złośliwego oprogramowania skojarzonych ze wskaźnikiem |
NetworkCidrBlock | ciąg | Można zaobserwować blok CIDR sieci. |
NetworkDestinationAsn | int | Docelowy numer systemu autonomicznego sieci można zaobserwować. |
NetworkDestinationCidrBlock | ciąg | Docelowy blok CIDR w sieci można zaobserwować. |
NetworkDestinationIP | ciąg | Docelowy adres IP sieci. |
NetworkDestinationPort | int | Port docelowy sieci można zaobserwować. |
NetworkIP | ciąg | Adres IP sieci można zaobserwować. |
NetworkPort | int | Można zauważyć port sieciowy. |
Networkprotocol | int | Można zaobserwować protokół sieciowy. |
NetworkSourceAsn | int | Numer systemu autonomicznego źródła sieci można zaobserwować. |
NetworkSourceCidrBlock | ciąg | Widoczny jest blok CIDR źródła sieci. |
NetworkSourceIP | ciąg | Możliwy do obserwacji źródłowy adres IP źródła sieci. |
NetworkSourcePort | int | Można zaobserwować port źródłowy sieci. |
Pasywne | bool | Wskazuje, czy wskaźnik powinien wyzwolić zdarzenie widoczne dla użytkownika. |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
Tagi | ciąg | Bezpłatne tagi formularzy. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatSeverity | int | Ocena ważności wskaźnika z zakresu od 0 do 5. Wyższa wartość wskazuje większą ważność. |
ThreatType | ciąg | Typ zagrożenia wskaźnika. |
TimeGenerated | datetime | Czas pozyskiwania wskaźnika. |
TrafficLightProtocolLevel | ciąg | Standardowy poziom protokołu sygnalizacji świetlnej w branży, jeden z białych, zielonych, bursztynowych lub czerwonych. |
Typ | ciąg | Nazwa tabeli |
Url | ciąg | Adres URL można zaobserwować. |
Useragent | ciąg | Można zaobserwować agenta użytkownika. |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla