你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Google Cloud Platform IDS 数据连接器提供使用计算引擎 API 将云 IDS 日志引入 Microsoft Sentinel 的功能。 这样就可以通过监视网络流量和识别可疑活动,来检测和响应 Google Cloud 环境中的潜在威胁。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AlertSeverity | 字符串 | 威胁的严重性。 信息性、低、中等、高或严重之一。 |
| 警报时间 | datetime | 发现威胁的时间。 |
| 应用程序 | 字符串 | 可疑流量的应用程序类型,例如 SSH。 |
| AuthenticationInfoPrincipalEmail | 字符串 | 发起请求的经过身份验证的用户或服务帐户的电子邮件地址。 |
| 授权信息 | 字符串 | 有关为操作评估的权限或角色的信息。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 类别 | 字符串 | 威胁的子类型。 |
| CVE | 字符串 | 与威胁关联的 CVE 列表。 |
| 目标IP地址 | 字符串 | 可疑流量的目标 IP 地址。 |
| 目的港 | 字符串 | 可疑流量的目标端口。 |
| 详细信息 | 字符串 | 有关威胁类型的其他信息。 |
| 方向 | 字符串 | 可疑流量的方向(客户端到服务器或服务器到客户端)。 |
| ElapsedTime | 字符串 | 会话的已用时间。 |
| InsertId | 字符串 | 日志条目的唯一标识符。 |
| IP协议 | 字符串 | 可疑流量的 IP 协议。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| JsonPayloadName | 字符串 | 威胁名称。 |
| JsonPayloadType | 字符串 | 威胁的类型。 |
| LogName | 字符串 | 完整日志名称,包括资源路径。 |
| 方法名称 | 字符串 | 已调用的 API 方法或函数的名称。 |
| 网络 | 字符串 | 与 IDS 终结点关联的网络。 |
| NumResponseItems | 字符串 | 响应中返回的项数(如果适用)。 |
| OperationFirst | 布尔 | 表示这是一系列操作中的第一个日志条目。 |
| OperationId | 字符串 | 用于操作的唯一标识符,可用于在日志中进行跟踪和关联。 |
| OperationLast | 布尔 | 指示这是否是操作序列中的最后一个日志条目。 |
| OperationProducer | 字符串 | 生成该操作的组件或服务。 |
| 载荷类型 | 字符串 | 与请求关联的有效负载的类型或格式。 |
| ReceiveTimestamp | datetime | 日志条目被 Cloud Logging 接收的时间。 |
| 重复次数 | 字符串 | 在 5 秒内出现相同源 IP、目标 IP、应用程序和类型的会话数。 |
| RequestEndpointId | 字符串 | 处理请求的终结点的唯一标识符。 |
| 请求端点名称 | 字符串 | 向其发送请求的终结点的名称。 |
| RequestEndpointNetwork | 字符串 | 访问终结点时所使用的网络路径或名称。 |
| RequestEndpointSeverity | 字符串 | 与威胁检测或访问上下文中的终结点关联的严重性。 |
| RequestEndpointThreatExceptions | 字符串 | 对于此请求而应用于终结点的威胁例外(如果有)。 |
| RequestEndpointTrafficLogs | 字符串 | 与端点请求相关的流量日志的详细信息或引用信息。 |
| RequestMetadataCallerIP | 字符串 | 发起请求的调用方 IP 地址。 |
| RequestMetadataDestinationAttributes | 字符串 | 有关目标服务或资源的元数据属性。 |
| RequestMetadataRequestAttributesAuth | 字符串 | 与身份验证相关的请求属性,例如令牌或身份验证级别。 |
| RequestMetadataRequestAttributesReason | 字符串 | 请求的原因,例如策略行动或用户发起的更改。 |
| RequestMetadataRequestAttributesTime | datetime | 记录请求属性的时间戳。 |
| 请求名称 | 字符串 | 请求中要访问或修改的资源的名称或标识符。 |
| RequestParent | 字符串 | 请求的父资源,指示层次结构或上下文。 |
| 请求类型 | 字符串 | 请求类型。 |
| 请求更新掩码路径 | 字符串 | 请求中要更新的路径。 |
| ResourceLabelsId | 字符串 | 日志条目中涉及的资源的唯一标识符。 |
| ResourceLabelsLocation | 字符串 | 资源的地理或区域位置。 |
| ResourceLabelsMethod | 字符串 | 对资源执行的方法或操作,通常关联到 API 调用或服务方法。 |
| ResourceLabelsProjectId | 字符串 | 与资源关联的项目 ID,通常表示 Google Cloud 项目。 |
| ResourceLabelsResourceContainer | 字符串 | 资源所属的容器或逻辑分组的名称(例如文件夹、组织)。 |
| ResourceLabelsService | 字符串 | 指示云服务的服务标签。 |
| ResourceLocationCurrentLocations | 字符串 | 在日志条目记录时,资源的当前物理或逻辑位置。 |
| 响应名称 | 字符串 | 响应中返回的资源的名称或 ID。 |
| ResponseNetwork | 字符串 | 与响应关联的网络路径或标识符。 |
| ResponseSeverity | 字符串 | 响应的严重性级别(尤其是在错误或警报上下文中)。 |
| ResponseState | 字符串 | 针对检测到的威胁采取的响应作的状态或结果。 |
| ResponseThreatExceptions | 字符串 | 响应期间应用的任何威胁例外列表,允许特定威胁绕过强制措施。 |
| ResponseTrafficLogs | 布尔 | 指示是否为会话或威胁响应捕获了流量日志。 |
| 响应类型 | 字符串 | 从操作返回的响应的类型或格式。 |
| 服务名称 | 字符串 | 与日志条目或威胁检测关联的云服务的名称。 |
| SessionId(会话ID) | 字符串 | 应用于每个会话的内部数字标识符。 |
| 严重程度 | 字符串 | 指示日志条目或事件的严重性级别。 |
| 来源IP地址 | 字符串 | 可疑流量的源 IP 地址。 |
| SourcePort | 字符串 | 流量的源端口。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 开始时间 | datetime | 会话开始的时间。 |
| 状态 | 字符串 | 操作或请求的状态,例如 SUCCESS、FAILURE 或 ERROR。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| 威胁编号 (ThreatId) | 字符串 | 唯一威胁标识符。 |
| TimeGenerated | 日期/时间 | 日志记录系统生成和引入日志条目时的时间戳。 |
| 时间戳 | datetime | 源系统记录的事件的原始时间戳。 |
| 总字节数 | 字符串 | 会话中传输的总字节数。 |
| TotalPackets | 字符串 | 会话中传输的数据包总数。 |
| 类型 | 字符串 | 表的名称 |
| URIOrFilename | 字符串 | 相关威胁的 URI 或文件名(如果适用)。 |