Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A lista de observação confidencial do Azure Sentinel contém dados importados de arquivos CSV que podem ser usados para associar ou filtrar em condições de alerta/incidente.
Características da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Não |
| Transformação no momento da ingestão | Não |
| Consultas de exemplo | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AzureTenantId | cadeia de caracteres | A ID do locatário do AAD à qual essa tabela da Watchlist pertence. |
| _BilledSize | real | O tamanho do registro em bytes |
| CorrelationId | cadeia de caracteres | A ID de eventos correlacionados. |
| CreatedBy | dinâmico | O objeto JSON com o usuário que criou a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome. |
| CreatedTimeUTC | data e hora | A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi criado pela primeira vez. |
| Duração padrão | cadeia de caracteres | O objeto JSON que descreve a duração padrão de vida que cada item de uma Watchlist deve herdar na criação. A duração padrão tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, onde P, Y, M, DT, H, M e S são invariantes. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos. |
| _DTItemId | cadeia de caracteres | A Watchlist ou a ID exclusiva da Watchlist. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Um item da Lista de Observação tem ID exclusivo e pertence a uma Lista de Observação. A lista de observação que contém pode ser identificada usando o 'WatchlistId'. |
| _DTItemStatus | string | A lista de observação ou o item da lista de observação foi criado, atualizado ou excluído pelo usuário. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Se uma lista de observação for adicionada, o status será 'Criado'. Se o nome da lista de observação for atualizado de 'RiskyUsers' para 'RiskyEmployees', o status será 'Atualizado'. |
| _DTItemType | cadeia de caracteres | Faça a distinção entre uma lista de observação e um item da lista de observação. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Um tipo de item Watchlist pertencerá a um tipo Watchlist e a Watchlist que o contém pode ser identificada usando o 'WatchlistId'. |
| _DTTimestamp | datetime | A hora (UTC) em que o evento foi gerado. |
| Mapeamento de Entidade | dinâmico | O objeto JSON com mapeamento de entidade do Azure Sentinel para as colunas de entrada. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| LastUpdatedTimeUTC | datetime | A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi atualizado pela última vez. |
| Observações | string | As notas fornecidas pelo usuário. |
| Provedor | cadeia de caracteres | O provedor de entrada da Watchlist. |
| SearchKey | cadeia de caracteres | O SearchKey é usado para otimizar o desempenho da consulta quando utilizadas listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e use esse campo para ingressar em outras tabelas de eventos por endereço IP. |
| Origem | cadeia de caracteres | A fonte de entrada da Watchlist. |
| SourceSystem | cadeia de caracteres | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou pelo Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| Marcas | cadeia de caracteres | A matriz JSON de marcas fornecidas pelo usuário. |
| Id do Inquilino | string | A ID do workspace do Log Analytics |
| TimeGenerated | data e hora | A marca temporal (UTC) de quando o evento foi gerado. |
| TimeToLive | data e hora | O tempo de vida de um registro da Watchlist, expresso como uma data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). O valor original é herdado da duração padrão da Watchlist. Se TimeToLive for aprovado, o registro será considerado excluído. A duração de um registro pode ser estendida a qualquer momento atualizando o valor TimeToLive. |
| Tipo | cadeia de caracteres | O nome da tabela |
| UpdatedBy | dinâmico | O objeto JSON com o usuário que atualizou pela última vez a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome. |
| Lista de observaçãoAlias | cadeia de caracteres | A cadeia de caracteres exclusiva que se refere à Watchlist. |
| WatchlistCategory | cadeia de caracteres | A categoria Watchlist fornecida pelo usuário. |
| Id da lista de observação | cadeia de caracteres | O nome do recurso da Watchlist do Resource Manager. |
| Item de Lista de Observação | dinâmico | O objeto JSON com pares de chave-valor da fonte de entrada da Watchlist. |
| IDDoItemDaListaDeObservação | cadeia de caracteres | A ID exclusiva do item da Watchlist. |
| Nome da lista de observação | cadeia de caracteres | O nome de exibição da Watchlist. |