Dela via


DynamicSummary

Azure Sentinel Dynamic Summary tillhandahåller en lagring av säkerhetsdata för att bevara koncentrerade resultat och sammanfattningar för jakt, undersökning, sökning, identifiering. Sammanfattningsbeskrivning och detaljerade observerbara filer kan lagras i Log Analytics för ytterligare analys och rapportgenerering.

Tabellattribut

Attribut Värde
Resurstyper -
Kategorier -
Lösningar SecurityInsights
Grundläggande logg Nej
Inmatningstidstransformering Nej
Exempelfrågor -

Kolumner

Column Type Beskrivning
AzureTenantId sträng Det AAD-klient-ID som den här DynamicSummary-tabellen tillhör.
_BilledSize real Poststorleken i byte
CreatedBy dynamisk JSON-objektet med användaren som skapade sammanfattningen, inklusive: objekt-ID, e-post och namn.
CreatedTimeUTC datetime Tiden (UTC) när sammanfattningen skapades.
EventTimeUTC datetime Tiden (UTC) när sammanfattningsobjektet inträffade ursprungligen.
_IsBillable sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
ObservableType sträng Observerbara händelser är tillståndskänsliga händelser med egenskaper som är relaterade till driften av databehandlingssystemet, som är användbara för att identifiera indikatorer för kompromisser. Du kan till exempel logga in.
ObservableValue sträng Värde för observerbar typ, till exempel: avvikande RDP-aktivitet.
PackedContent dynamisk JSON-objektet har packade kolumner som kan genereras med hjälp av KQL pack_all().
Fråga sträng Det här är frågan som användes för att generera resultatet.
QueryEndDate datetime Händelser som inträffade före den här datetime inkluderas i resultatet.
QueryStartDate datetime Händelser som inträffade efter denna datetime inkluderas i resultatet.
RelationId sträng Det ursprungliga datakällans ID
RelationName sträng Det ursprungliga datakällans namn.
SearchKey sträng SearchKey används för att optimera frågeprestanda när du använder DynamicSummary för kopplingar till andra data. Du kan till exempel aktivera en kolumn med IP-adresser som det avsedda Fältet SearchKey och sedan använda det här fältet för att ansluta till andra händelsetabeller efter IP-adress.
SourceInfo dynamisk JSON-objektet med information om dataproducenten, inklusive källa, namn, version.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
SummaryDataType sträng Den här flaggan används för att avgöra om posten antingen är en sammanfattningsnivå eller en post på objektnivå.
SummaryDescription sträng Beskrivningen som tillhandahålls av användaren.
SummaryId sträng Sammanfattning av unikt ID.
SummaryItemId sträng Unikt ID för sammanfattningsobjekt.
SummaryName sträng Visningsnamnet Sammanfattning är unikt på arbetsytan.
SummaryStatus sträng Aktiv eller borttagen.
Taktiker dynamisk MITRE ATT&CK-taktik är vad angripare försöker uppnå. Till exempel exfiltrering.
Tekniker dynamisk MITRE ATT&CK-tekniker är hur dessa taktiker utförs.
TenantId sträng Log Analytics-arbetsytans ID
TimeGenerated datetime Tidsstämpeln (UTC) för när händelsen matades in till Azure Monitor.
Typ sträng Namnet på tabellen
UpdatedBy dynamisk JSON-objektet med användaren som uppdaterade sammanfattningen, inklusive: objekt-ID, e-post och namn.
UpdatedTimeUTC datetime Tiden (UTC) när sammanfattningen uppdaterades.