异常

  • 项目

此表包含 Azure Sentinel 中的活动异常分析规则生成的异常。

表属性

Attribute
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时间转换
示例查询

类型 说明
ActivityInsights dynamic 有关与生成的异常对应的活动(JSON)的见解。
AnomalyDetails dynamic JSON 对象包含有关生成异常的规则和算法的常规信息,以及异常的解释。
AnomalyReasons dynamic JSON 形式的生成的异常的详细说明。
AnomalyTemplateId 字符串 生成此异常的异常模板的 ID。
AnomalyTemplateName 字符串 生成此异常的异常模板的名称。
AnomalyTemplateVersion 字符串 生成此异常的异常模板的版本。
_BilledSize real 记录大小(以字节为单位)
说明 字符串 异常的说明。
DestinationDevice 字符串 为其生成异常的目标设备。
DestinationIpAddress 字符串 为其生成异常的目标 IP 地址。
DestinationLocation dynamic 有关其异常生成为 JSON 的目标位置的信息。
DeviceInsights dynamic 有关与生成的异常对应的设备(JSON)的见解。
EndTime datetime 异常结束 (UTC) 的时间。
实体 dynamic JSON 对象,包含生成的异常中涉及的所有实体。
ExtendedLinks dynamic 指向生成异常的数据的链接列表。
ExtendedProperties dynamic JSON 对象,其中包含有关异常的其他数据作为键值对。
ID 字符串 生成的异常的 ID。
_IsBillable 字符串 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费
RuleConfigVersion 字符串 生成此异常的异常分析规则的配置版本。
RuleId 字符串 生成此异常的异常分析规则的 ID。
RuleName 字符串 生成此异常的异常分析规则的名称。
RuleStatus 字符串 生成此异常的异常分析规则的状态 (外部测试/生产) 。
分数 real 异常的分数。
SourceDevice 字符串 为其生成异常的源设备。
SourceIpAddress 字符串 为其生成异常的源 IP 地址。
SourceLocation dynamic 有关其异常作为 JSON 生成的源位置的信息。
SourceSystem 字符串 事件所收集的代理的类型。 例如,OpsManager对于 Windows 代理,直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断
StartTime datetime utc (时间) 异常开始的时间。
策略 字符串 MITRE ATT&CK 策略列表, (与异常相对应的字符串) 。
方法 字符串 列出 MITRE ATT&CK 技术 (与异常相对应的字符串) 。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated datetime 时间戳 (UTC) 生成异常的时间。
类型 字符串 表的名称
UserInsights dynamic 有关与生成的异常对应的用户(JSON)的见解。
UserName 字符串 为其生成异常的用户名。
UserPrincipalName 字符串 为其生成异常的用户的 UPN。
VendorName 字符串 生成此异常的供应商的名称。
WorkspaceId 字符串 Sentinel 工作区的 ID。