Frågor för tabellen AggregatedSecurityAlert
Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
Gruppera aggregerade säkerhetsaviseringar efter sektor
Aggregerade säkerhetsaviseringar grupperade efter ursprungssektor.
source
| project
TimeGenerated = todatetime(TimeGenerated),
DisplayName = AlertDisplayName,
AlertName = AlertDisplayName,
AlertSeverity = Severity,
Description,
ProviderName,
VendorName,
VendorOriginalId = ProviderAlertId,
SystemAlertId,
AlertType,
ConfidenceLevel,
ConfidenceScore = tofloat(ConfidenceScore),
StartTime = todatetime(StartTimeUtc),
EndTime = todatetime(EndTimeUtc),
ProcessingEndTime = todatetime(ProcessingEndTime),
RemediationSteps = tostring(todynamic(RemediationSteps)),
ExtendedProperties = tostring(todynamic(ExtendedProperties )),
Entities = tostring(todynamic(Entities)),
SourceSystem = "Detection",
ExtendedLinks = tostring(todynamic(ExtendedLinks)),
ProductName,
ProductComponentName,
Status,
CompromisedEntity,
Tactics = Intent,
Techniques = tostring(todynamic(Techniques)),
SubTechniques = tostring(todynamic(SubTechniques)),
PartnerId,
PartnerDisplayName,
PartnerMetadata = tostring(todynamic(PartnerMetadata)),
AggregatedSecurityAlertRuleIds,
AggregatedSecurityAlertRuleNames