Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Sentinel Dynamic Summary tillhandahåller en lagring av säkerhetsdata för att bevara koncentrerade resultat och sammanfattningar för jakt, undersökning, sökning, identifiering. Sammanfattningsbeskrivning och detaljerade observerbara filer kan lagras i Log Analytics för ytterligare analys och rapportgenerering.
Tabellattributen
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | - |
| Lösningar | SecurityInsights |
| Grundläggande logg | Nej |
| Omvandling vid inmatningstid | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Type | Beskrivning |
|---|---|---|
| AzureTenantId | sträng | Det AAD-klient-ID som den här DynamicSummary-tabellen tillhör. |
| _FaktureradStorlek | verklig | Rekordstorleken i byte |
| Skapad av | dynamisk | JSON-objektet med användaren som skapade sammanfattningen, inklusive: objekt-ID, e-post och namn. |
| SkapadTidUTC | datetime | Tiden (UTC) när sammanfattningen skapades. |
| HändelsetidUTC | datum och tid | Tiden (UTC) när sammanfattningsobjektet inträffade ursprungligen. |
| _IsBillable | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte ditt Azure-konto för inmatning |
| ObservableType | sträng | Observerbara händelser är tillståndskänsliga händelser med egenskaper som är relaterade till driften av databehandlingssystemet, som är användbara för att identifiera indikatorer för kompromisser. Du kan till exempel logga in. |
| ObservableValue | sträng | Värde för observerbar typ, till exempel: avvikande RDP-aktivitet. |
| Paketinnehåll | dynamisk | JSON-objektet har packade kolumner som kan genereras med hjälp av KQL pack_all(). |
| Fråga | sträng | Det här är frågan som användes för att generera resultatet. |
| Frågeslutdatum | datum och tid | Händelser som inträffade före den här datetime inkluderas i resultatet. |
| Frågestartdatum | datum och tid | Händelser som inträffade efter denna datetime inkluderas i resultatet. |
| RelationId | sträng | Det ursprungliga datakällans ID |
| Relationsnamn | sträng | Det ursprungliga datakällans namn. |
| SearchKey | sträng | SearchKey används för att optimera frågeprestanda när du använder DynamicSummary för kopplingar till andra data. Du kan till exempel aktivera en kolumn med IP-adresser som det avsedda Fältet SearchKey och sedan använda det här fältet för att ansluta till andra händelsetabeller efter IP-adress. |
| SourceInfo | dynamisk | JSON-objektet med information om dataproducenten, inklusive källa, namn, version. |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SummaryDataType | sträng | Den här flaggan används för att avgöra om posten antingen är en sammanfattningsnivå eller en post på objektnivå. |
| Sammanfattningsbeskrivning | sträng | Beskrivningen som tillhandahålls av användaren. |
| SammanfattningsID | sträng | Sammanfattning av unikt ID. |
| SummaryItemId | sträng | Unikt ID för sammanfattningspost. |
| SummaryName | sträng | Sammanfattningsvisningsnamnet, unikt inom arbetsytan. |
| Sammanfattningsstatus | sträng | Aktiv eller borttagen. |
| Taktiker | dynamisk | MITRE ATT&CK-taktik är vad angripare försöker uppnå. Till exempel exfiltrering. |
| Tekniker | dynamisk | MITRE ATT&CK-tekniker är hur dessa taktiker utförs. |
| HyresvärdsID | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datum och tid | Tidsstämpeln (UTC) för när händelsen matades in till Azure Monitor. |
| Typ | sträng | Namnet på tabellen |
| Uppdaterad av | dynamisk | JSON-objektet med användaren som uppdaterade sammanfattningen, inklusive: objekt-ID, e-post och namn. |
| UppdateradTidUTC | datumtid | Tiden (UTC) när sammanfattningen uppdaterades. |