Watchlist
Azure Sentinel 监视列表包含从 CSV 文件导入的数据,这些文件可用于联接或筛选警报/事件条件。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AzureTenantId | 字符串 | 此监视列表表所属的 AAD 租户 ID。 |
_BilledSize | real | 记录大小(以字节为单位) |
CorrelationId | 字符串 | 关联事件的 ID。 |
CreatedBy | dynamic | JSON 对象,其中包含创建监视列表或监视列表项的用户,包括:对象 ID、电子邮件和名称。 |
CreatedTimeUTC | datetime | 首次创建监视列表或监视列表项的时间 (UTC) 。 |
DefaultDuration | 字符串 | 描述创建监视列表的每个项应继承的默认生存期的 JSON 对象。 默认持续时间采用以下格式:P (n) Y (n) M (n) DT (n) H (n) M (n) S,其中 P、Y、M、M、DT、H、M 和 S 是固定的。 例如,P3Y6M4DT12H30M9S表示 3 年、6 个月、4 天、12 小时、30 分钟和 9 秒的持续时间。 |
_DTItemId | 字符串 | 监视列表或监视列表项的唯一 ID。 例如,监视列表“RiskyUsers”可以包含监视列表项“Name:John Doe;email:johndoe@contoso.com'. 监视列表项具有唯一 ID 且属于监视列表。 可以使用“WatchlistId”标识包含监视列表的 。 |
_DTItemStatus | 字符串 | 用户是否已创建、更新或删除监视列表或监视列表项。 例如,监视列表“RiskyUsers”可以包含监视列表项“Name:John Doe;email:johndoe@contoso.com'. 如果添加了监视列表,则状态将为“已创建”。 如果监视列表的名称从“RiskyUsers”更新为“RiskyEmployees”,则状态将为“已更新”。 |
_DTItemType | 字符串 | 区分监视列表和监视列表项。 例如,监视列表“RiskyUsers”可以包含监视列表项“Name:John Doe;email:johndoe@contoso.com'. 监视列表项类型将属于监视列表类型,并且可以使用“WatchlistId”标识包含的监视列表。 |
_DTTimestamp | datetime | 生成事件的时间 (UTC) 。 |
EntityMapping | dynamic | Azure Sentinel 实体映射到输入列的 JSON 对象。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
LastUpdatedTimeUTC | datetime | 上次更新监视列表或监视列表项的时间 (UTC) 。 |
说明 | 字符串 | 用户提供的备注。 |
提供程序 | 字符串 | 监视列表的输入提供程序。 |
SearchKey | 字符串 | 使用监视列表与其他数据进行联接时,SearchKey 用于优化查询性能。 例如,将具有 IP 地址的列设置为指定的 SearchKey 字段,然后使用此字段按 IP 地址联接到其他事件表中。 |
源 | 字符串 | 监视列表的输入源。 |
SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager 对于 Windows 代理,对于直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
标记 | 字符串 | 用户提供的标记的 JSON 数组。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 生成事件时的时间戳 (UTC)。 |
TimeToLive | datetime | 监视列表记录的生存时间,表示为一天的日期和时间 (,例如 2020-08-20T17:00:00.9618037Z) 。 其原始值继承自 Watchlist 的默认持续时间。 如果 TimeToLive 通过,则记录被视为已删除。 随时可以通过更新 TimeToLive 值来延长记录的持续时间。 |
类型 | 字符串 | 表的名称 |
UpdatedBy | dynamic | 包含上次更新监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和名称。 |
WatchlistAlias | 字符串 | 引用监视列表的唯一字符串。 |
WatchlistCategory | 字符串 | 用户提供的监视列表类别。 |
WatchlistId | 字符串 | 资源管理器监视列表资源名称。 |
WatchlistItem | dynamic | 包含输入监视列表源中的键值对的 JSON 对象。 |
WatchlistItemId | 字符串 | 监视列表项唯一 ID。 |
WatchlistName | 字符串 | 监视列表的显示名称。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈