ThreatIntelligenceIndicator
威胁情报指示器
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 操作 | string | 要对指示器匹配执行的操作。 |
| 活动 | bool | 指示指示器是否处于活动状态。 |
| ActivityGroupNames | 字符串 | 与指示器关联的活动组。 |
| AdditionalInformation | 字符串 | 指示器的自由文本附加信息。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| ConfidenceScore | real | 指标的置信度分级,从 0 到 100。 |
| 说明 | 字符串 | 指示器的说明。 |
| DiamondModel | 字符串 | 指标的菱形模型值,其中一个是对手、能力、基础结构或受害者。 |
| DomainName | 字符串 | 可观测的域名。 |
| EmailEncoding | 字符串 | 可观测的电子邮件编码。 |
| EmailLanguage | 字符串 | 可观测的电子邮件语言。 |
| EmailRecipient | 字符串 | 可观测的电子邮件收件人。 |
| EmailSenderAddress | 字符串 | 可观测的电子邮件发件人地址。 |
| EmailSenderName | 字符串 | 电子邮件发件人名称可观测。 |
| EmailSourceDomain | 字符串 | 可观测的电子邮件源域。 |
| EmailSourceIpAddress | 字符串 | 可观测的电子邮件源 IP 地址。 |
| 电子邮件主题 | 字符串 | 可观测的电子邮件主题。 |
| EmailXMailer | 字符串 | 电子邮件 X-Mailer 可观测。 |
| ExpirationDateTime | datetime | 指示器过期时间。 |
| ExternalIndicatorId | 字符串 | 来自提交系统的指示器的标识符。 |
| FileCompileDateTime | datetime | 可观测的文件编译时间。 |
| FileCreatedDateTime | datetime | 可观测的文件创建时间。 |
| FileHashType | 字符串 | 可观测的文件哈希类型。 |
| FileHashValue | 字符串 | 可观测的文件哈希值。 |
| FileMutexName | 字符串 | 可观测的文件互斥名称。 |
| FileName | string | 可观测的文件名。 |
| FilePacker | 字符串 | 可观测的文件包装器。 |
| 文件路径 | 字符串 | 可观测的文件路径。 |
| FileSize | int | 可观测的文件大小。 |
| FileType | 字符串 | 可观测的文件类型。 |
| IndicatorId | 字符串 | 指示器的唯一标识符,由接收系统计算。 |
| IndicatorProvider | 字符串 | 提供指示器的实体的名称。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| KillChainActions | bool | 指示是否设置终止链值“actions”。 |
| KillChainC2 | bool | 指示是否设置终止链值“C2”。 |
| KillChainDelivery | bool | 指示是否设置终止链值“delivery”。 |
| KillChainExploitation | bool | 指示是否设置终止链值“利用”。 |
| KillChainReconnaissance | bool | 指示是否设置终止链值“重新生成”。 |
| KillChainWeaponization | bool | 指示是否设置杀伤链值“武器化”。 |
| KnownFalsePositives | 字符串 | 描述指示器可能导致误报的情况的文本。 |
| MalwareNames | 字符串 | 与指示器关联的恶意软件名称列表 |
| NetworkCidrBlock | 字符串 | 可观测的网络 CIDR 块。 |
| NetworkDestinationAsn | int | 可观测的网络目标自治系统编号。 |
| NetworkDestinationCidrBlock | 字符串 | 可观测的网络目标 CIDR 块。 |
| NetworkDestinationIP | 字符串 | 网络目标 IP 地址。 |
| NetworkDestinationPort | int | 可观测的网络目标端口。 |
| NetworkIP | 字符串 | 可观测的网络 IP 地址。 |
| NetworkPort | int | 可观测的网络端口。 |
| NetworkProtocol | int | 可观测的网络协议。 |
| NetworkSourceAsn | int | 可观测的网络源自治系统编号。 |
| NetworkSourceCidrBlock | 字符串 | 可观测的网络源 CIDR 块。 |
| NetworkSourceIP | 字符串 | 可观测的网络源 IP 地址。 |
| NetworkSourcePort | int | 可观测的网络源端口。 |
| PassiveOnly | bool | 指示指示器是否应触发用户可见的事件。 |
| SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| 标记 | 字符串 | 自由格式标记。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| ThreatSeverity | int | 指示器严重性分级从 0 到 5。 值越大,表示严重性越高。 |
| ThreatType | 字符串 | 指示器的威胁类型。 |
| TimeGenerated | datetime | 指示器引入的时间。 |
| TrafficLightProtocolLevel | 字符串 | 行业标准交通灯协议级别,其中一个为白色、绿色、琥珀色或红色。 |
| 类型 | 字符串 | 表的名称 |
| URL | string | 可观测的 URL。 |
| UserAgent | 字符串 | 可观测的用户代理。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈