Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Watchlist do Azure Sentinel contém dados importados de arquivos CSV que podem ser usados para ingressar ou filtrar como uma condição de alerta/incidente.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Não |
| Transformação durante a ingestão | Sim |
| Consultas de exemplo | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AzureTenantId | cadeia de caracteres | A ID do locatário do AAD à qual essa tabela da Watchlist pertence. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| CorrelationId | cadeia de caracteres | A ID de eventos correlacionados. |
| CreatedBy | dinâmico | O objeto JSON com o usuário que criou a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome. |
| CreatedTimeUTC | data e hora | A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi criado pela primeira vez. |
| Duração padrão | cadeia de caracteres | O objeto JSON que descreve a duração padrão de vida que cada item de uma Watchlist deve herdar na criação. A duração padrão tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, onde P, Y, M, DT, H, M e S são invariantes. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos. |
| _DTItemId | cadeia de caracteres | A Watchlist ou a ID exclusiva da Watchlist. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Um item da Lista de Observação tem ID exclusivo e pertence a uma Lista de Observação. A lista de observação que contém pode ser identificada usando o 'WatchlistId'. |
| _DTItemStatus | cadeia de caracteres | A watchlist ou o item de watchlist foi criado, atualizado ou excluído pelo usuário. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Se uma lista de observação for adicionada, o status será 'Criado'. Se o nome da lista de observação for atualizado de 'RiskyUsers' para 'RiskyEmployees', o status será 'Atualizado'. |
| _DTItemType | cadeia de caracteres | Faça a distinção entre uma lista de observação e um item da lista de observação. Por exemplo, uma lista de observação ''RiskyUsers'' pode conter o item da lista de observação ''Nome:John Doe; email:johndoe@contoso.com''. Um tipo de item Watchlist pertencerá a um tipo Watchlist e a Watchlist que o contém pode ser identificada usando o 'WatchlistId'. |
| _DTTimestamp | data e hora | A hora (UTC) em que o evento foi gerado. |
| Mapeamento de Entidade | dinâmico | O objeto JSON com mapeamento de entidade do Azure Sentinel para as colunas de entrada. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| HoraDaÚltimaAtualizaçãoUTC | data e hora | A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi atualizado pela última vez. |
| Observações | cadeia de caracteres | As notas fornecidas pelo usuário. |
| Provedor | cadeia de caracteres | O provedor de entrada da Watchlist. |
| Chave de Busca | cadeia de caracteres | A SearchKey é usada para otimizar o desempenho das consultas ao usar listas de observação para uniões com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e use esse campo para ingressar em outras tabelas de eventos por endereço IP. |
| Origem | cadeia de caracteres | A fonte de entrada da Watchlist. |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| Etiquetas | cadeia de caracteres | A matriz JSON de marcas fornecidas pelo usuário. |
| ID do Inquilino (TenantId) | cadeia de caracteres | A ID do workspace do Log Analytics |
| TimeGenerated | data e hora | O timestamp (UTC) de quando o evento foi gerado. |
| TimeToLive | data e hora | O tempo de vida de um registro da Watchlist, expresso como uma data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). O valor original é herdado da duração padrão da Watchlist. Se TimeToLive for aprovado, o registro será considerado excluído. A duração de um registro pode ser estendida a qualquer momento atualizando o valor TimeToLive. |
| Tipo | cadeia de caracteres | O nome da tabela |
| UpdatedBy | dinâmico | O objeto JSON com o usuário que atualizou pela última vez a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome. |
| Lista de observaçãoAlias | cadeia de caracteres | A cadeia de caracteres exclusiva que se refere à Watchlist. |
| WatchlistCategory | cadeia de caracteres | A categoria Watchlist fornecida pelo usuário. |
| Id da lista de observação | cadeia de caracteres | O nome do recurso da Watchlist do Resource Manager. |
| Item de Lista de Observação | dinâmico | O objeto JSON com pares de chave-valor da fonte de entrada da Watchlist. |
| IDDoItemDaListaDeObservação | cadeia de caracteres | A ID exclusiva do item da Watchlist. |
| Nome da Lista de Observação | cadeia de caracteres | O nome de exibição da Watchlist. |