Formação
Módulo
Usar listas de observação no Microsoft Sentinel - Training
Usar listas de observação no Microsoft Sentinel
ConfidencialLista de observação
A Lista de Observação confidencial do Azure Sentinel contém dados importados de arquivos CSV que podem ser usados para ingressar ou filtrar como uma condição de alerta/incidente.
| Atributo | Value |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Não |
| Transformação do tempo de ingestão | Não |
| Consultas de Exemplo | Sim |
| Column | Tipo | Description |
|---|---|---|
| AzureTenantId | string | O ID do locatário do AAD ao qual esta tabela da Lista de observação pertence. |
| _BilledSize | real | O tamanho do registo em bytes |
| CorrelationId | string | A ID para eventos correlacionados. |
| CreatedBy | dynamic | O objeto JSON com o usuário que criou o item Lista de observação ou Lista de observação, incluindo: ID do objeto, e-mail e nome. |
| CreatedTimeUTC | datetime | A hora (UTC) em que o item Lista de observação ou Lista de observação foi criado pela primeira vez. |
| DefaultDuration | string | O objeto JSON que descreve a duração padrão de vida que cada item de uma Watchlist deve herdar na criação. A duração padrão tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, onde P, Y, M, DT, H, M e S são invariantes. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos. |
| _DTItemId | string | O ID exclusivo do item Lista de observação ou Lista de observação. Por exemplo, uma Watchlist 'RiskyUsers' pode conter o item 'Name:John Doe; Endereço eletrónico:johndoe@contoso.com'. Um item da Lista de Observação tem ID exclusivo e pertence a uma Lista de Observação. A Watchlist que a contém pode ser identificada através do 'WatchlistId'. |
| _DTItemStatus | string | O item Lista de observação ou Lista de observação foi criado, atualizado ou excluído pelo usuário. Por exemplo, uma Watchlist 'RiskyUsers' pode conter o item 'Name:John Doe; Endereço eletrónico:johndoe@contoso.com'. Se uma Lista de observação for adicionada, o status será 'Criado'. Se o nome da Watchlist for atualizado de 'RiskyUsers' para 'RiskyEmployees' o status será 'Atualizado'. |
| _DTItemType | string | Distinga entre um item da Lista de observação e de uma lista de observação. Por exemplo, uma Watchlist 'RiskyUsers' pode conter o item 'Name:John Doe; Endereço eletrónico:johndoe@contoso.com'. Um tipo de item de Lista de Observação pertencerá a um tipo de Lista de Observação e a Lista de Observação que a contém pode ser identificada usando o 'WatchlistId'. |
| _DTTimestamp | datetime | A hora (UTC) em que o evento foi gerado. |
| Mapeamento de Entidades | dynamic | O objeto JSON com mapeamento de entidade do Azure Sentinel para colunas de entrada. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| LastUpdatedTimeUTC | datetime | A hora (UTC) em que o item Watchlist ou Watchlist foi atualizado pela última vez. |
| Notas | string | As notas fornecidas pelo usuário. |
| Provider | string | O provedor de entrada da Lista de observação. |
| Chave de pesquisa | string | A SearchKey é usada para otimizar o desempenho da consulta ao usar listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, use esse campo para ingressar em outras tabelas de eventos por endereço IP. |
| Origem | string | A fonte de entrada da Lista de observação. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| Etiquetas | string | A matriz JSON de tags fornecida pelo usuário. |
| TenantId | cadeia | O ID do espaço de trabalho do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) de quando o evento foi gerado. |
| TimeToLive | datetime | O tempo para viver para um registro da Watchlist, expresso como data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). Seu valor original é herdado da duração padrão da Watchlist. Se o TimeToLive passar, o registro será considerado excluído. A duração de um registro pode ser estendida a qualquer momento, atualizando o valor TimeToLive. |
| Type | string | O nome da tabela |
| AtualizadoPor | dynamic | O objeto JSON com o usuário que atualizou pela última vez o item Lista de observação ou Lista de observação, incluindo: ID do objeto, e-mail e nome. |
| Lista de observaçãoAlias | string | A cadeia de caracteres exclusiva referente à Lista de observação. |
| Lista de observaçãoCategoria | string | A categoria Lista de observação fornecida pelo usuário. |
| WatchlistId | string | O nome do recurso Resource Manager Watchlist. |
| WatchlistItem | dynamic | O objeto JSON com pares chave-valor da fonte Watchlist de entrada. |
| WatchlistItemId | string | O ID exclusivo do item Lista de observação. |
| Lista de observaçãoNome | string | O nome para exibição da Lista de observação. |