Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta tabela faz parte do Acesso à Identidade e à Rede, que contém Alertas de Acesso à Rede. Esses alertas podem ser aproveitados para saber o estado do acesso à rede.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Ferramentas de segurança, rede, TI e gerenciamento |
| Soluções | Gerenciamento de Logs |
| Log básico | Sim |
| Transformação no momento da ingestão | Não |
| Consultas de exemplo | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| TipoDeAlerta | cadeia de caracteres | O nome do tipo do alerta. Alertas do mesmo tipo devem ter o mesmo nome. Esse campo é uma cadeia de caracteres com chave que representa o tipo de alerta e não de uma instância de alerta. Todas as instâncias de alerta da mesma lógica/análise de detecção devem ter o mesmo valor para o tipo de alerta. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| ComponentName | cadeia de caracteres | O nome de um componente dentro do produto que gerou o alerta. Este é um campo opcional, que pode ser preenchido apenas para produtos nos quais o usuário final externo está ciente de componentes específicos dentro de um produto. Para produtos que oferecem diferentes tipos de SKU/Pacotes, esse campo pode conter o nome do SKU ou do pacote. |
| CreationDateTime | DATETIME | A data e a hora (UTC) em que o evento foi gerado. |
| Descrição | cadeia de caracteres | O número de bytes enviados da origem para o destino da conexão ou sessão. |
| Tecnologia de detecção | cadeia de caracteres | Campo opcional para manter a tecnologia de detecção de ameaças de alerta. |
| Nome Visível | cadeia de caracteres | O nome de exibição do alerta, esse valor é exibido aos usuários como está ou com parâmetros adicionais. |
| Propriedades Estendidas | dinâmico | Um saco de campos que será apresentado ao usuário. Os provedores podem enviar aqui quaisquer campos personalizados que devem fazer parte do alerta. |
| FirstActivityDateTime | DATETIME | A hora de início do impacto do alerta (a hora do primeiro evento ou atividade incluída no alerta). O campo é serializado como uma cadeia de caracteres de acordo com ISO8601, incluindo informações de fuso horário UTC. |
| ID | cadeia de caracteres | Um identificador exclusivo para cada Alerta de Acesso à Rede. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| IsPreview | bool | IsPreview será definido como true quando o alerta estiver no estado de visualização pública e ainda não estiver qualificado para GA. Por padrão, o valor é false. |
| LastActivityDateTime | DATETIME | A hora de término do impacto do alerta (a hora do último evento ou atividade incluída no alerta). O campo é serializado como uma cadeia de caracteres de acordo com ISO8601, incluindo informações de fuso horário UTC. |
| PolicyId | cadeia de caracteres | A ID da política associada ao tráfego de acesso à rede que gerou o alerta. |
| ProductName | cadeia de caracteres | O nome do produto que publicou este alerta, ou seja, Central de Segurança do Azure, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS, etc. |
| Recursos relacionados | dinâmico | Uma lista de entidades relacionadas ao alerta. Essa lista pode conter uma mistura de entidades de tipos diferentes. O tipo de entidades pode ser qualquer um dos tipos definidos na seção Entidades. Entidades que não estão na lista abaixo também podem ser enviadas; no entanto, não é garantido que elas serão processadas (o alerta não causará falha na Produção com novos tipos de entidades). |
| Severidade | cadeia de caracteres | A gravidade do alerta conforme relatado pelo provedor. Valores possíveis: Informativo, Baixo, Médio, Alto. |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para o agente do Windows, com conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| SubTechniques | cadeia de caracteres | Campo opcional que especifica as sub-técnicas relacionadas à cadeia de ataque por trás do alerta. Cada subtécnica deve ser adicionada a essa lista usando sua ID e deve ter pelo menos uma intenção correspondente no campo Intenção. |
| Técnicas | cadeia de caracteres | Campo opcional que especifica as técnicas relacionadas à cadeia de ataque por trás do alerta. Cada técnica deve ser adicionada a essa lista usando sua ID e deve ter pelo menos uma intenção correspondente no campo Intenção. A produção desse campo (o formato esperado da identificação da técnica e a correspondência com os valores de intenção) segue o modelo de matriz da empresa MITRE ATT&CK (abre em uma nova janela ou guia) e orientações adicionais sobre as diferentes técnicas que compõem cada intenção podem ser encontradas na documentação do MITRE. |
| ID do Inquilino (TenantId) | cadeia de caracteres | A ID do workspace do Log Analytics |
| TimeGenerated | DATETIME | A data e a hora (UTC) em que o evento foi gerado. |
| Tipo | cadeia de caracteres | O nome da tabela |
| Nome do Fornecedor | cadeia de caracteres | O nome do fornecedor que levantou o alerta, esse valor é exibido para os usuários como está. Para a maioria dos alertas de produtos de segurança interna, ele deve ser definido como 'Microsoft'. |