AlertEvidence

  • 项目

包括与警报关联的文件、IP 地址、URL、用户或设备。

表属性

Attribute
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时间转换
示例查询

类型 说明
AccountDomain 字符串 帐户的域。
AccountName 字符串 帐户的用户名。
AccountObjectId 字符串 Azure Active Directory 中帐户的唯一标识符。
AccountSid 字符串 帐户的 SID) (安全标识符。
AccountUpn 字符串 用户主体名称 (帐户的 UPN) 。
AdditionalFields dynamic 有关 JSON 数组格式的事件的其他信息。
AlertId 字符串 警报的唯一标识符。
应用程序 string 执行所记录操作的应用程序。
ApplicationId int 应用程序的唯一标识符。
AttackTechniques 字符串 MITRE ATT&与触发警报的活动关联的 CK 技术。
_BilledSize real 记录大小(以字节为单位)
类别 字符串 信息所属的类别列表,采用 JSON 数组格式。
DetectionSource 字符串 识别值得注意的组件或活动的检测技术或传感器。
DeviceId string 服务中设备的唯一标识符。
DeviceName 字符串 完全限定的域名 (计算机的 FQDN) 。
电子邮件主题 字符串 电子邮件的主题。
EntityType 字符串 对象的类型,例如文件、进程、设备或用户。
EvidenceDirection 字符串 指示实体是网络连接的源还是目标。
EvidenceRole 字符串 实体在警报中涉及的方式,指示它是受影响还是仅相关。
FileName string 应用记录操作的文件的名称。
FileSize long 文件的大小(以字节为单位)。
FolderPath 字符串 包含已记录操作应用到的文件的文件夹。
_IsBillable 字符串 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费
LocalIP 字符串 分配给通信期间使用的本地设备的 IP 地址。
NetworkMessageId 字符串 由 Office 365 生成的电子邮件的唯一标识符。
OAuthApplicationId 字符串 第三方 OAuth 应用程序的唯一标识符。
ProcessCommandLine 字符串 用于创建新进程的命令行。
RegistryKey string 记录的操作应用于的注册表项。
RegistryValueData 字符串 记录的操作应用于的注册表值的数据。
RegistryValueName 字符串 记录的操作应用于的注册表值的名称。
RemoteIP 字符串 要连接到的 IP 地址。
RemoteUrl 字符串 要连接到的 FQDN) (URL 或完全限定的域名。
ServiceSource 字符串 提供警报信息的产品或服务。
SHA1 字符串 已记录操作应用于的文件的 SHA-1。
SHA256 字符串 已记录操作应用于的文件的 SHA-256。 此字段通常不会填充 -- 在可用时使用 SHA1 列。
SourceSystem 字符串 事件所收集的代理的类型。 例如,OpsManager对于 Windows 代理,直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断
TenantId 字符串 Log Analytics 工作区 ID
ThreatFamily 字符串 可疑或恶意文件或进程已分类的恶意软件系列。
TimeGenerated datetime 生成记录时 (UTC) 日期和时间。
标题 字符串 警报的标题。
类型 字符串 表的名称