Partilhar via


AlertEvidence

Inclui ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas.

Atributos da tabela

Atributo Value
Tipos de recursos -
Categorias Segurança
Soluções SecurityInsights
Log básico Não
Transformação do tempo de ingestão Sim
Consultas de Exemplo Sim

Colunas

Column Tipo Description
AccountDomain string Domínio da conta.
AccountName string Nome de utilizador da conta.
AccountObjectId string Identificador exclusivo da conta no Azure Ative Directory.
AccountSid string Identificador de Segurança (SID) da conta.
AccountUpn string Nome principal do usuário (UPN) da conta.
Campos Adicionais dynamic Informações adicionais sobre o evento no formato de matriz JSON.
AlertId string Identificador exclusivo do alerta.
Aplicação string Aplicação que executou a ação gravada.
ApplicationId número inteiro Identificador exclusivo do aplicativo.
Técnicas de Ataque string Técnicas MITRE ATT&CK associadas à atividade que desencadeou o alerta.
_BilledSize real O tamanho do registo em bytes
Categorias string Lista de categorias às quais as informações pertencem, em formato de matriz JSON.
DetectionSource string Tecnologia de deteção ou sensor que identificou o componente ou atividade notável.
DeviceId string Identificador exclusivo do dispositivo no serviço.
Nome do dispositivo string FQDN (nome de domínio totalmente qualificado) da máquina.
EmailSubject string Assunto do e-mail.
Tipo de entidade string Tipo de objeto, como um arquivo, um processo, um dispositivo ou um usuário.
Direção de Evidências string Indica se a entidade é a origem ou o destino de uma conexão de rede.
EvidênciaPapel string Como a entidade está envolvida em um alerta, indicando se ele é afetado ou se está meramente relacionado.
FileName string Nome do arquivo ao qual a ação gravada foi aplicada.
Tamanho do arquivo long Tamanho do ficheiro em bytes.
FolderPath string Pasta que contém o arquivo ao qual a ação gravada foi aplicada.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure
LocalIP string Endereço IP atribuído ao dispositivo local usado durante a comunicação.
NetworkMessageId string Identificador exclusivo do email, gerado pelo Office 365.
OAuthApplicationId string Identificador exclusivo do aplicativo OAuth de terceiros.
ProcessCommandLine string Linha de comando usada para criar o novo processo.
RegistryKey string Chave do Registro à qual a ação gravada foi aplicada.
RegistryValueData string Dados do valor do Registro ao qual a ação registrada foi aplicada.
RegistryValueName string Nome do valor do Registro ao qual a ação registrada foi aplicada.
RemoteIP string Endereço IP ao qual estava sendo conectado.
RemoteUrl string URL ou FQDN (nome de domínio totalmente qualificado) ao qual estava sendo conectado.
Fonte de Serviços string Produto ou serviço que forneceu as informações de alerta.
SHA1 string SHA-1 do arquivo ao qual a ação gravada foi aplicada.
SHA256 string SHA-256 do arquivo ao qual a ação gravada foi aplicada. Este campo geralmente não é preenchido - use a coluna SHA1 quando disponível.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure
TenantId cadeia O ID do espaço de trabalho do Log Analytics
AmeaçaFamília string Família de malware na qual o ficheiro ou processo suspeito ou malicioso foi classificado.
TimeGenerated datetime Data e hora (UTC) em que o registo foi gerado.
Título string Título do alerta.
Type string O nome da tabela