ThreatIntelligenceIndicator
威胁情报指示器
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | - |
列
列 | 类型 | 说明 |
---|---|---|
操作 | string | 要对指示器匹配执行的操作。 |
活动 | bool | 指示指示器是否处于活动状态。 |
ActivityGroupNames | 字符串 | 与指示器关联的活动组。 |
AdditionalInformation | 字符串 | 指示器的自由文本附加信息。 |
_BilledSize | real | 记录大小(以字节为单位) |
ConfidenceScore | real | 指标的置信度分级,从 0 到 100。 |
说明 | 字符串 | 指示器的说明。 |
DiamondModel | 字符串 | 指标的菱形模型值,其中一个是对手、能力、基础结构或受害者。 |
DomainName | 字符串 | 可观测的域名。 |
EmailEncoding | 字符串 | 可观测的电子邮件编码。 |
EmailLanguage | 字符串 | 可观测的电子邮件语言。 |
EmailRecipient | 字符串 | 可观测的电子邮件收件人。 |
EmailSenderAddress | 字符串 | 可观测的电子邮件发件人地址。 |
EmailSenderName | 字符串 | 电子邮件发件人名称可观测。 |
EmailSourceDomain | 字符串 | 可观测的电子邮件源域。 |
EmailSourceIpAddress | 字符串 | 可观测的电子邮件源 IP 地址。 |
电子邮件主题 | 字符串 | 可观测的电子邮件主题。 |
EmailXMailer | 字符串 | 电子邮件 X-Mailer 可观测。 |
ExpirationDateTime | datetime | 指示器过期时间。 |
ExternalIndicatorId | 字符串 | 来自提交系统的指示器的标识符。 |
FileCompileDateTime | datetime | 可观测的文件编译时间。 |
FileCreatedDateTime | datetime | 可观测的文件创建时间。 |
FileHashType | 字符串 | 可观测的文件哈希类型。 |
FileHashValue | 字符串 | 可观测的文件哈希值。 |
FileMutexName | 字符串 | 可观测的文件互斥名称。 |
FileName | string | 可观测的文件名。 |
FilePacker | 字符串 | 可观测的文件包装器。 |
文件路径 | 字符串 | 可观测的文件路径。 |
FileSize | int | 可观测的文件大小。 |
FileType | 字符串 | 可观测的文件类型。 |
IndicatorId | 字符串 | 指示器的唯一标识符,由接收系统计算。 |
IndicatorProvider | 字符串 | 提供指示器的实体的名称。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
KillChainActions | bool | 指示是否设置终止链值“actions”。 |
KillChainC2 | bool | 指示是否设置终止链值“C2”。 |
KillChainDelivery | bool | 指示是否设置终止链值“delivery”。 |
KillChainExploitation | bool | 指示是否设置终止链值“利用”。 |
KillChainReconnaissance | bool | 指示是否设置终止链值“重新生成”。 |
KillChainWeaponization | bool | 指示是否设置杀伤链值“武器化”。 |
KnownFalsePositives | 字符串 | 描述指示器可能导致误报的情况的文本。 |
MalwareNames | 字符串 | 与指示器关联的恶意软件名称列表 |
NetworkCidrBlock | 字符串 | 可观测的网络 CIDR 块。 |
NetworkDestinationAsn | int | 可观测的网络目标自治系统编号。 |
NetworkDestinationCidrBlock | 字符串 | 可观测的网络目标 CIDR 块。 |
NetworkDestinationIP | 字符串 | 网络目标 IP 地址。 |
NetworkDestinationPort | int | 可观测的网络目标端口。 |
NetworkIP | 字符串 | 可观测的网络 IP 地址。 |
NetworkPort | int | 可观测的网络端口。 |
NetworkProtocol | int | 可观测的网络协议。 |
NetworkSourceAsn | int | 可观测的网络源自治系统编号。 |
NetworkSourceCidrBlock | 字符串 | 可观测的网络源 CIDR 块。 |
NetworkSourceIP | 字符串 | 可观测的网络源 IP 地址。 |
NetworkSourcePort | int | 可观测的网络源端口。 |
PassiveOnly | bool | 指示指示器是否应触发用户可见的事件。 |
SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager 对于 Windows 代理,对于直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
标记 | 字符串 | 自由格式标记。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
ThreatSeverity | int | 指示器严重性分级从 0 到 5。 值越大,表示严重性越高。 |
ThreatType | 字符串 | 指示器的威胁类型。 |
TimeGenerated | datetime | 指示器引入的时间。 |
TrafficLightProtocolLevel | 字符串 | 行业标准交通灯协议级别,其中一个为白色、绿色、琥珀色或红色。 |
类型 | 字符串 | 表的名称 |
URL | string | 可观测的 URL。 |
UserAgent | 字符串 | 可观测的用户代理。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈