ThreatIntelligenceIndicator
Indicador de Inteligência contra Ameaças
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Ação | string | Ação a ser tomada na correspondência do indicador. |
| Ativo | bool | Indica se o indicador está ativo. |
| ActivityGroupNames | string | Grupos de atividades associados ao indicador. |
| AdditionalInformation | string | Informações adicionais de texto livre para indicador. |
| _BilledSize | real | O tamanho do registro em bytes |
| ConfidenceScore | real | Classificação de confiança do indicador, de 0 a 100. |
| Descrição | string | Descrição do indicador. |
| DiamondModel | string | Valor do modelo de diamante para o indicador, um de adversário, capacidade, infraestrutura ou vítima. |
| DomainName | string | O nome de domínio observável. |
| EmailEncoding | string | A codificação de email observável. |
| EmailLanguage | string | O idioma de email observável. |
| EmailRecipient | string | O destinatário do email observável. |
| EmailSenderAddress | string | O endereço do remetente de email observável. |
| EmailSenderName | string | O nome do remetente de email observável. |
| EmailSourceDomain | string | O domínio de origem de email observável. |
| EmailSourceIpAddress | string | O endereço IP de origem de email observável. |
| EmailSubject | string | O assunto de email observável. |
| EmailXMailer | string | O email X-Mailer observável. |
| ExpirationDateTime | DATETIME | Tempo de expiração do indicador. |
| ExternalIndicatorId | string | Identificador para indicador do sistema de envio. |
| FileCompileDateTime | DATETIME | O tempo de compilação do arquivo observável. |
| FileCreatedDateTime | DATETIME | O tempo de criação do arquivo observável. |
| FileHashType | string | O tipo de hash de arquivo observável. |
| FileHashValue | string | O valor de hash do arquivo observável. |
| FileMutexName | string | O nome mutex do arquivo observável. |
| FileName | string | O nome do arquivo observável. |
| FilePacker | string | O empacotador de arquivos observável. |
| FilePath | string | O caminho do arquivo observável. |
| FileSize | INT | O tamanho do arquivo observável. |
| FileType | string | O tipo de arquivo observável. |
| IndicatorId | string | Identificador exclusivo para indicador, calculado pelo sistema de recebimento. |
| IndicatorProvider | string | O nome da entidade que forneceu o indicador. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| KillChainActions | bool | Indica se o valor da cadeia de encerramento 'actions' está definido. |
| KillChainC2 | bool | Indica se o valor da cadeia de encerramento 'C2' está definido. |
| KillChainDelivery | bool | Indica se o valor de cadeia de encerramento 'delivery' está definido. |
| KillChainExploitation | bool | Indica se o valor da cadeia de eliminação 'exploração' está definido. |
| KillChainReconnaissance | bool | Indica se o valor de cadeia de encerramento 'reconniassance' está definido. |
| KillChainWeaponization | bool | Indica se o valor de cadeia de morte 'weaponization' está definido. |
| KnownFalsePositives | string | Texto que descreve situações em que o indicador pode causar falsos positivos. |
| MalwareNames | string | Lista de nomes de malware associados ao indicador |
| NetworkCidrBlock | string | O bloco CIDR de rede observável. |
| NetworkDestinationAsn | INT | O número do sistema autônomo de destino de rede observável. |
| NetworkDestinationCidrBlock | string | O bloco CIDR de destino de rede observável. |
| NetworkDestinationIP | string | O endereço IP de destino de rede. |
| NetworkDestinationPort | INT | A porta de destino de rede observável. |
| NetworkIP | string | O endereço IP de rede observável. |
| NetworkPort | INT | A porta de rede observável. |
| NetworkProtocol | INT | O protocolo de rede observável. |
| NetworkSourceAsn | INT | O número do sistema autônomo de origem de rede observável. |
| NetworkSourceCidrBlock | string | O bloco CIDR de origem de rede observável. |
| NetworkSourceIP | string | O endereço IP de origem de rede observável. |
| NetworkSourcePort | INT | A porta de origem de rede observável. |
| PassiveOnly | bool | Indica se o indicador deve disparar um evento visível para um usuário. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| Marcações | string | Marcas de formulário gratuitas. |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatSeverity | INT | Classificação de gravidade do indicador de 0 a 5. Valor mais alto indica maior gravidade. |
| ThreatType | string | Tipo de ameaça de indicador. |
| TimeGenerated | DATETIME | Tempo de ingestão de indicador. |
| TrafficLightProtocolLevel | string | Nível de protocolo de semáforo padrão do setor, um de branco, verde, âmbar ou vermelho. |
| Type | string | O nome da tabela |
| Url | string | A URL observável. |
| UserAgent | string | O agente de usuário observável. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de