Händelser
17 mars 21 - 21 mars 10
Gå med i mötesserien för att skapa skalbara AI-lösningar baserat på verkliga användningsfall med andra utvecklare och experter.
Registrera dig nuVisningslista
Azure Sentinel Watchlist innehåller importerade data från CSV-filer som kan användas för att ansluta eller filtrera som ett aviserings-/incidentvillkor.
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Nej |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | Ja |
| Column | Type | Beskrivning |
|---|---|---|
| AzureTenantId | sträng | Det AAD-klientorganisations-ID som den här bevakningslisttabellen tillhör. |
| _BilledSize | real | Poststorleken i byte |
| CorrelationId | sträng | ID:t för korrelerade händelser. |
| CreatedBy | dynamisk | JSON-objektet med användaren som skapade objektet Visningslista eller Visningslista, inklusive: Objekt-ID, e-post och namn. |
| CreatedTimeUTC | datetime | Tiden (UTC) när objektet Visningslista eller Visningslista först skapades. |
| DefaultDuration | sträng | JSON-objektet som beskriver standardvaraktigheten att leva som varje objekt i en bevakningslista ska ärva när det skapas. Standardvaraktigheten har det här formatet: P(n)Y(n)M(n)DT(n)H(n)M(n)S, där P, Y, M, DT, H, M och S är invarianta. Till exempel representerar P3Y6M4DT12H30M9S en varaktighet på tre år, sex månader, fyra dagar, tolv timmar, trettio minuter och nio sekunder. |
| _DTItemId | sträng | Unikt ID för visningslista eller visningslista. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Ett visningslisteobjekt har ett unikt ID och tillhör en bevakningslista. Den innehållande visningslistan kan identifieras med hjälp av "WatchlistId". |
| _DTItemStatus | sträng | Skapades, uppdaterades eller togs objektet Visningslista eller Visningslista bort av användaren. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Om en bevakningslista läggs till blir statusen Skapad. Om namnet på bevakningslistan uppdateras från RiskyUsers till RiskyEmployees blir statusen Uppdaterad. |
| _DTItemType | sträng | Skilja mellan en visningslista och ett visningslisteobjekt. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. En typ av visningslista tillhör en typ av visningslista och den innehållande visningslistan kan identifieras med hjälp av "WatchlistId". |
| _DTTimestamp | datetime | Tiden (UTC) när händelsen genererades. |
| EntityMapping | dynamisk | JSON-objektet med Azure Sentinel-entitetsmappning till indatakolumner. |
| _IsBillable | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| LastUpdatedTimeUTC | datetime | Tiden (UTC) när visningslista eller visningslista senast uppdaterades. |
| Kommentar | sträng | Anteckningarna som tillhandahålls av användaren. |
| Provider | sträng | Indataprovidern för visningslistan. |
| SearchKey | sträng | SearchKey används för att optimera frågeprestanda när du använder visningslistor för kopplingar till andra data. Du kan till exempel aktivera en kolumn med IP-adresser som det avsedda Fältet SearchKey och sedan använda det här fältet för att ansluta till andra händelsetabeller efter IP-adress. |
| Källa | sträng | Indatakällan för visningslistan. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Taggar | sträng | JSON-matrisen med taggar som tillhandahålls av användaren. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tidsstämpeln (UTC) för när händelsen genererades. |
| TimeToLive | datetime | Tiden att leva för en watchlist-post, uttryckt som datum och tid på dagen (t.ex. 2020-08-20T17:00:00.9618037Z). Det ursprungliga värdet ärvs från Visningslistans standardvaraktighet. Om TimeToLive godkänns anses posten vara borttagen. En posts varaktighet kan förlängas när som helst genom att uppdatera TimeToLive-värdet. |
| Typ | sträng | Namnet på tabellen |
| UpdatedBy | dynamisk | JSON-objektet med den användare som senast uppdaterade objektet Visningslista eller Visningslista, inklusive: Objekt-ID, e-post och namn. |
| WatchlistAlias | sträng | Den unika strängen som refererar till visningslistan. |
| WatchlistCategory | sträng | Kategorin Visningslista som tillhandahålls av användaren. |
| WatchlistId | sträng | Resursnamnet för Resource Manager Watchlist. |
| WatchlistItem | dynamisk | JSON-objektet med nyckel/värde-par från källan för visningslistan. |
| WatchlistItemId | sträng | Unikt ID för visningslistans objekt. |
| WatchlistName | sträng | Visningsnamnet för visningslistan. |