Поделиться через


Аномалии

Эта таблица содержит аномалии, созданные активными правилами аналитики аномалий в Azure Sentinel.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
ActivityInsights по строкам Аналитические сведения о активах, соответствующих созданной аномалии в формате JSON.
АномалииDetails по строкам Объект JSON, содержащий общие сведения о правиле и алгоритме, который создал аномалию, а также объяснения аномалии.
АномалииReasons по строкам Подробное описание созданной аномалии в формате JSON.
AnomalyTemplateId строка Идентификатор шаблона аномалий, создающего эту аномалию.
AnomalyTemplateName строка Имя шаблона аномалий, создающего эту аномалию.
AnomalyTemplateVersion строка Версия шаблона Аномалии, создающего эту аномалию.
_BilledSize real Размер записи в байтах
Description строка Описание аномалии.
DestinationDevice строка Целевое устройство, для которого была создана аномалия.
DestinationIpAddress строка Ip-адрес назначения, для которого была создана аномалия.
DestinationLocation по строкам Сведения о расположении назначения, для которого аномалия была создана как JSON.
DeviceInsights по строкам Аналитические сведения об устройствах, соответствующих созданной аномалии в формате JSON.
EndTime datetime Время (UTC) при завершении аномалии.
Сущности по строкам Объект JSON, содержащий все сущности, участвующие в созданной аномалии.
ExtendedLinks по строкам Список ссылок, указывающих на данные, создающие аномалию.
ExtendedProperties по строкам Объект JSON с дополнительными данными об аномалии в виде пар "ключ-значение".
Артикул строка Идентификатор созданной аномалии.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
RuleConfigVersion строка Версия конфигурации правила аналитики аномалий, создающая эту аномалию.
Идентификатор правила строка Идентификатор правила аналитики аномалий, создающего эту аномалию.
RuleName строка Имя правила аналитики аномалий, создающего эту аномалию.
RuleStatus строка Состояние (Flighting/Production) правила аналитики аномалий, создающего эту аномалию.
Балл real Оценка аномалии.
SourceDevice строка Исходное устройство, для которого была создана аномалия.
SourceIpAddress строка Исходный IP-адрес, для которого была создана аномалия.
SourceLocation по строкам Сведения о исходном расположении, для которого аномалия была создана как JSON.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
Время начала datetime Время (UTC) при запуске аномалии.
Тактика строка Список тактики MITRE ATT&CK (строк), соответствующих аномалии.
Techniques строка Перечисление методов MITRE ATT&CK (строк), соответствующих аномалиям.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Метка времени (UTC) при создании аномалии.
Тип строка Имя таблицы.
UserInsights по строкам Аналитические сведения о пользователях, соответствующих созданной аномалии в формате JSON.
UserName строка Имя пользователя, для которого была создана аномалия.
UserPrincipalName строка Имя участника-пользователя, для которого была создана аномалия.
VendorName строка Имя поставщика, создающего эту аномалию.
WorkspaceId строка Идентификатор рабочей области Sentinel.