ActionType
|
定义 ActionType 的值。
KnownActionType 可与 ActionType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
ModifyProperties:修改对象的属性
RunPlaybook:在对象上运行 playbook
|
ActionsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
ActionsGetResponse
|
包含获取操作的响应数据。
|
ActionsListByAlertRuleNextResponse
|
包含 listByAlertRuleNext 操作的响应数据。
|
ActionsListByAlertRuleResponse
|
包含 listByAlertRule 操作的响应数据。
|
AlertDetail
|
定义 AlertDetail 的值。
KnownAlertDetail 可与 AlertDetail 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
DisplayName:警报显示名称
严重性:警报严重性
|
AlertRuleKind
|
定义 AlertRuleKind 的值。
KnownAlertRuleKind 可与 AlertRuleKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
计划
MicrosoftSecurityIncidentCreation
合成
MLBehaviorAnalytics
ThreatIntelligence
NRT
|
AlertRuleTemplateUnion
|
AlertRuleTemplatesGetResponse
|
包含获取操作的响应数据。
|
AlertRuleTemplatesListNextResponse
|
包含 listNext 操作的响应数据。
|
AlertRuleTemplatesListResponse
|
包含列表操作的响应数据。
|
AlertRuleUnion
|
AlertRulesCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
AlertRulesGetResponse
|
包含获取操作的响应数据。
|
AlertRulesListNextResponse
|
包含 listNext 操作的响应数据。
|
AlertRulesListResponse
|
包含列表操作的响应数据。
|
AlertSeverity
|
定义 AlertSeverity 的值。
KnownAlertSeverity 可与 AlertSeverity 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
高:严重性高
中:中等严重性
低:低严重性
信息性:信息严重性
|
AlertStatus
|
定义 AlertStatus 的值。
KnownAlertStatus 可与 AlertStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:未知值
新建:新警报
已解决:处理后警报关闭
已消除:警报已消除为误报
InProgress:正在处理警报
|
AntispamMailDirection
|
定义 AntispamMailDirection 的值。
KnownAntispamMailDirection 可与 AntispamMailDirection 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:未知
入站:入站
出站:出站
Intraorg:Intraorg
|
AttackTactic
|
定义 AttackTactic 的值。
KnownAttackTactic 可与 AttackTactic 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
侦查
资源开发
初始访问
执行
持久性
特权提升
防御规避
凭据访问
发现
横向移动
集合
外泄
命令和控制
影响
预攻击
ImpairProcessControl
InhibitResponseFunction
|
AutomationRuleActionUnion
|
AutomationRuleBooleanConditionSupportedOperator
|
定义 AutomationRuleBooleanConditionSupportedOperator 的值。
KnownAutomationRuleBooleanConditionSupportedOperator 可与 AutomationRuleBooleanConditionSupportedOperator 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
并且:如果所有项条件的计算结果均为 true,则计算结果为 true
或者:如果至少有一个项条件的计算结果为 true,则计算结果为 true
|
AutomationRuleConditionUnion
|
AutomationRulePropertyArrayChangedConditionSupportedArrayType
|
定义 AutomationRulePropertyArrayChangedConditionSupportedArrayType 的值。
KnownAutomationRulePropertyArrayChangedConditionSupportedArrayType 可与 AutomationRulePropertyArrayChangedConditionSupportedArrayType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
警报:评估警报的条件
标签:评估标签的条件
策略:评估策略的条件
注释:评估批注的条件
|
AutomationRulePropertyArrayChangedConditionSupportedChangeType
|
定义 AutomationRulePropertyArrayChangedConditionSupportedChangeType 的值。
KnownAutomationRulePropertyArrayChangedConditionSupportedChangeType 可与 AutomationRulePropertyArrayChangedConditionSupportedChangeType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
已添加:评估添加到数组的项的条件
|
AutomationRulePropertyArrayConditionSupportedArrayConditionType
|
定义 AutomationRulePropertyArrayConditionSupportedArrayConditionType 的值。
KnownAutomationRulePropertyArrayConditionSupportedArrayConditionType 可与 AutomationRulePropertyArrayConditionSupportedArrayConditionType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AnyItem:如果任何项满足条件,则将其评估为 true
|
AutomationRulePropertyArrayConditionSupportedArrayType
|
定义 AutomationRulePropertyArrayConditionSupportedArrayType 的值。
KnownAutomationRulePropertyArrayConditionSupportedArrayType 可与 AutomationRulePropertyArrayConditionSupportedArrayType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
CustomDetails:评估自定义详细信息键的条件
CustomDetailValues:根据自定义详细信息的值评估条件
|
AutomationRulePropertyChangedConditionSupportedChangedType
|
定义 AutomationRulePropertyChangedConditionSupportedChangedType 的值。
KnownAutomationRulePropertyChangedConditionSupportedChangedType 可与 AutomationRulePropertyChangedConditionSupportedChangedType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
ChangedFrom:根据属性的上一个值评估条件
ChangedTo:根据属性的更新值评估条件
|
AutomationRulePropertyChangedConditionSupportedPropertyType
|
定义 AutomationRulePropertyChangedConditionSupportedPropertyType 的值。
KnownAutomationRulePropertyChangedConditionSupportedPropertyType 可与 AutomationRulePropertyChangedConditionSupportedPropertyType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
IncidentSeverity:评估事件严重性的条件
IncidentStatus:评估事件状态的条件
IncidentOwner:评估事件所有者的条件
|
AutomationRulePropertyConditionSupportedOperator
|
定义 AutomationRulePropertyConditionSupportedOperator 的值。
KnownAutomationRulePropertyConditionSupportedOperator 可与 AutomationRulePropertyConditionSupportedOperator 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Equals:计算属性是否至少等于一个条件值
NotEquals:如果属性不等于任何条件值,则计算
包含:计算属性是否至少包含一个条件值
NotContains:如果属性不包含任何条件值,则计算
StartsWith:评估属性是否以任何条件值开头
NotStartsWith:如果属性不以任何条件值开头,则计算
EndsWith:评估属性是否以任何条件值结尾
NotEndsWith:如果属性未以任何条件值结尾,则计算
|
AutomationRulePropertyConditionSupportedProperty
|
定义 AutomationRulePropertyConditionSupportedProperty 的值。
KnownAutomationRulePropertyConditionSupportedProperty 可与 AutomationRulePropertyConditionSupportedProperty 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
IncidentTitle:事件的标题
IncidentDescription:事件的说明
IncidentSeverity:事件的严重性
IncidentStatus:事件的状态
IncidentRelatedAnalyticRuleIds:事件的相关分析规则 ID
IncidentTactics:事件的战术
IncidentLabel:事件的标签
IncidentProviderName:事件的提供程序名称
IncidentUpdatedBySource:事件的更新源
IncidentCustomDetailsKey:事件自定义详细信息键
IncidentCustomDetailsValue:事件自定义详细信息值
AccountAadTenantId:帐户 Azure Active Directory 租户 ID
AccountAadUserId:帐户 Azure Active Directory 用户 ID
AccountName:帐户名称
AccountNTDomain:帐户 NetBIOS 域名
AccountPUID:帐户 Azure Active Directory Passport 用户 ID
AccountSid:帐户安全标识符
AccountObjectGuid:帐户唯一标识符
AccountUPNSuffix:帐户用户主体名称后缀
AlertProductNames:警报的产品名称
AlertAnalyticRuleIds:警报的分析规则 ID
AzureResourceResourceId:Azure 资源 ID
AzureResourceSubscriptionId:Azure 资源订阅 ID
CloudApplicationAppId:云应用程序标识符
CloudApplicationAppName:云应用程序名称
DNSDomainName:dns 记录域名
FileDirectory:文件目录完整路径
FileName:不带路径的文件名
FileHashValue:文件哈希值
主机AzureID:主机 Azure 资源 ID
HostName:不带域的主机名
HostNetBiosName:主机 NetBIOS 名称
HostNTDomain:主机 NT 域
HostOSVersion:主机操作系统
IoTDeviceId:“IoT 设备 ID
IoTDeviceName:IoT 设备名称
IoTDeviceType:IoT 设备类型
IoTDeviceVendor:IoT 设备供应商
IoTDeviceModel:IoT 设备模型
IoTDeviceOperatingSystem:IoT 设备操作系统
IPAddress:IP 地址
MailboxDisplayName:邮箱显示名称
MailboxPrimaryAddress:邮箱主地址
MailboxUPN:邮箱用户主体名称
MailMessageDeliveryAction:邮件邮件传递操作
MailMessageDeliveryLocation:邮件邮件传递位置
MailMessageRecipient:邮件收件人
MailMessageSenderIP:邮件发件人 IP 地址
MailMessageSubject:邮件主题
MailMessageP1Sender:邮件 P1 发件人
MailMessageP2Sender:邮件 P2 发件人
MalwareCategory:恶意软件类别
MalwareName:恶意软件名称
ProcessCommandLine:进程执行命令行
ProcessId:进程 ID
RegistryKey:注册表项路径
RegistryValueData:字符串格式表示形式的注册表项值
Url:URL
|
AutomationRulesCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
AutomationRulesDeleteResponse
|
包含删除操作的响应数据。
|
AutomationRulesGetResponse
|
包含获取操作的响应数据。
|
AutomationRulesListNextResponse
|
包含 listNext 操作的响应数据。
|
AutomationRulesListResponse
|
包含列表操作的响应数据。
|
BookmarkExpandOperationResponse
|
包含展开操作的响应数据。
|
BookmarkRelationsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
BookmarkRelationsGetResponse
|
包含获取操作的响应数据。
|
BookmarkRelationsListNextResponse
|
包含 listNext 操作的响应数据。
|
BookmarkRelationsListResponse
|
包含列表操作的响应数据。
|
BookmarksCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
BookmarksGetResponse
|
包含获取操作的响应数据。
|
BookmarksListNextResponse
|
包含 listNext 操作的响应数据。
|
BookmarksListResponse
|
包含列表操作的响应数据。
|
ConditionType
|
定义 ConditionType 的值。
KnownConditionType 可与 ConditionType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
属性:计算对象属性值
PropertyArray:计算对象数组属性值
PropertyChanged:评估对象属性更改的值
PropertyArrayChanged:评估对象数组属性更改的值
布尔值:对条件应用布尔运算符 (,例如 AND、OR)
|
ConfidenceLevel
|
定义 ConfidenceLevel 的值。
KnownConfidenceLevel 可与 ConfidenceLevel 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:置信度未知,为默认值
低:置信度低,这意味着我们怀疑这确实是恶意攻击或攻击的一部分
高:高度确信警报为真正正恶意
|
ConfidenceScoreStatus
|
定义 ConfidenceScoreStatus 的值。
KnownConfidenceScoreStatus 可与 ConfidenceScoreStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
NotApplicable:不会计算此警报的分数,因为虚拟分析师不支持该警报
InProcess:尚未设置分数,计算正在进行
NotFinal:分数已计算并显示为警报的一部分,但可能会在处理其他数据后在以后再次更新
最终:最终分数已计算并可用
|
ConnectAuthKind
|
定义 ConnectAuthKind 的值。
KnownConnectAuthKind 可与 ConnectAuthKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
基本
OAuth2
APIKey
|
ConnectivityType
|
定义 ConnectivityType 的值。
KnownConnectivityType 可与 ConnectivityType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
IsConnectedQuery
|
ContentType
|
定义 ContentType 的值。
KnownContentType 可与 ContentType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AnalyticRule
工作簿
|
CreatedByType
|
定义 CreatedByType 的值。
KnownCreatedByType 可与 CreatedByType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
用户
应用程序
ManagedIdentity
键
|
CustomEntityQueryKind
|
定义 CustomEntityQueryKind 的值。
KnownCustomEntityQueryKind 可与 CustomEntityQueryKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
活动
|
CustomEntityQueryUnion
|
DataConnectorAuthorizationState
|
定义 DataConnectorAuthorizationState 的值。
KnownDataConnectorAuthorizationState 可与 DataConnectorAuthorizationState 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
有效
无效
|
DataConnectorKind
|
定义 DataConnectorKind 的值。
KnownDataConnectorKind 可与 DataConnectorKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AzureActiveDirectory
Azure安全Center
MicrosoftCloudAppSecurity
ThreatIntelligence
ThreatIntelligenceTaxii
Office365
OfficeATP
OfficeIRM
Office365Project
OfficePowerBI
AmazonWebServicesCloudTrail
AmazonWebServicesS3
AzureAdvancedThreatProtection
MicrosoftDefenderAdvancedThreatProtection
Dynamics365
MicrosoftThreatProtection
MicrosoftThreatIntelligence
GenericUI
APIPolling
IOT
|
DataConnectorLicenseState
|
定义 DataConnectorLicenseState 的值。
KnownDataConnectorLicenseState 可与 DataConnectorLicenseState 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
有效
无效
Unknown
|
DataConnectorUnion
|
DataConnectorsCheckRequirementsPostResponse
|
包含发布操作的响应数据。
|
DataConnectorsCheckRequirementsUnion
|
DataConnectorsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
DataConnectorsGetResponse
|
包含获取操作的响应数据。
|
DataConnectorsListNextResponse
|
包含 listNext 操作的响应数据。
|
DataConnectorsListResponse
|
包含列表操作的响应数据。
|
DataTypeState
|
定义 DataTypeState 的值。
KnownDataTypeState 可与 DataTypeState 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
已启用
已禁用
|
DeleteStatus
|
定义 DeleteStatus 的值。
KnownDeleteStatus 可与 DeleteStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
已删除:文件已删除。
NotDeleted:未删除文件。
未指定:未指定
|
DeliveryAction
|
定义 DeliveryAction 的值。
|
DeliveryLocation
|
定义 DeliveryLocation 的值。
|
DeploymentFetchStatus
|
定义 DeploymentFetchStatus 的值。
KnownDeploymentFetchStatus 可与 DeploymentFetchStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Success
未授权
NotFound
|
DeploymentResult
|
定义 DeploymentResult 的值。
KnownDeploymentResult 可与 DeploymentResult 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Success
已取消
已失败
|
DeploymentState
|
定义 DeploymentState 的值。
KnownDeploymentState 可与 DeploymentState 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
In_Progress
已完成
已排队
正在取消
|
DeviceImportance
|
定义 DeviceImportance 的值。
KnownDeviceImportance 可与 DeviceImportance 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:未知 - 默认值
低:低
正常:正常
高:高
|
DomainWhoisGetResponse
|
包含获取操作的响应数据。
|
ElevationToken
|
定义 ElevationToken 的值。
|
EntitiesExpandResponse
|
包含展开操作的响应数据。
|
EntitiesGetInsightsResponse
|
包含 getInsights 操作的响应数据。
|
EntitiesGetResponse
|
包含获取操作的响应数据。
|
EntitiesGetTimelineListResponse
|
包含列表操作的响应数据。
|
EntitiesListNextResponse
|
包含 listNext 操作的响应数据。
|
EntitiesListResponse
|
包含列表操作的响应数据。
|
EntitiesQueriesResponse
|
包含查询操作的响应数据。
|
EntitiesRelationsListNextResponse
|
包含 listNext 操作的响应数据。
|
EntitiesRelationsListResponse
|
包含列表操作的响应数据。
|
EntityItemQueryKind
|
定义 EntityItemQueryKind 的值。
KnownEntityItemQueryKind 可与 EntityItemQueryKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
见解:见解
|
EntityKind
|
定义 EntityKind 的值。
KnownEntityKind 可与 EntityKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
帐户:实体表示系统中的帐户。
主机:实体表示系统中的主机。
文件:实体表示系统中的文件。
AzureResource:实体表示系统中的 Azure 资源。
CloudApplication:实体表示系统中的云应用程序。
DnsResolution:实体表示系统中的 dns 解析。
FileHash:实体表示系统中的文件哈希。
Ip:实体表示系统中的 IP。
恶意软件:实体表示系统中的恶意软件。
进程:实体表示系统中的进程。
RegistryKey:实体表示系统中的注册表项。
RegistryValue:实体表示系统中的注册表值。
SecurityGroup:实体表示系统中的安全组。
Url:实体表示系统中的 URL。
IoTDevice:实体表示系统中的 IoT 设备。
SecurityAlert:实体表示系统中的安全警报。
书签:实体表示系统中的书签。
MailCluster:实体表示系统中的邮件群集。
MailMessage:实体表示系统中的邮件。
邮箱:实体表示系统中的邮箱。
SubmissionMail:实体表示系统中的提交邮件。
Nic:实体表示系统中的网络接口。
|
EntityMappingType
|
定义 EntityMappingType 的值。
KnownEntityMappingType 可与 EntityMappingType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
帐户:用户帐户实体类型
主机:主机实体类型
IP:IP 地址实体类型
恶意软件:恶意软件实体类型
文件:系统文件实体类型
进程:进程实体类型
CloudApplication:云应用实体类型
DNS:DNS 实体类型
AzureResource:Azure 资源实体类型
FileHash:文件哈希实体类型
RegistryKey:注册表项实体类型
RegistryValue:注册表值实体类型
SecurityGroup:安全组实体类型
URL:URL 实体类型
邮箱:邮箱实体类型
MailCluster:邮件群集实体类型
MailMessage:邮件实体类型
SubmissionMail:提交邮件实体类型
|
EntityProviders
|
定义 EntityProviders 的值。
KnownEntityProviders 可与 EntityProviders 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
ActiveDirectory
AzureActiveDirectory
|
EntityQueriesCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
EntityQueriesGetResponse
|
包含获取操作的响应数据。
|
EntityQueriesListNextResponse
|
包含 listNext 操作的响应数据。
|
EntityQueriesListResponse
|
包含列表操作的响应数据。
|
EntityQueryItemUnion
|
EntityQueryKind
|
定义 EntityQueryKind 的值。
KnownEntityQueryKind 可与 EntityQueryKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
扩张
见解
活动
|
EntityQueryTemplateKind
|
定义 EntityQueryTemplateKind 的值。
KnownEntityQueryTemplateKind 可与 EntityQueryTemplateKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
活动
|
EntityQueryTemplateUnion
|
EntityQueryTemplatesGetResponse
|
包含获取操作的响应数据。
|
EntityQueryTemplatesListNextResponse
|
包含 listNext 操作的响应数据。
|
EntityQueryTemplatesListResponse
|
包含列表操作的响应数据。
|
EntityQueryUnion
|
EntityRelationsGetRelationResponse
|
包含 getRelation 操作的响应数据。
|
EntityTimelineItemUnion
|
EntityTimelineKind
|
定义 EntityTimelineKind 的值。
KnownEntityTimelineKind 可与 EntityTimelineKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
活动:活动
书签:书签
SecurityAlert:安全警报
异常:异常
|
EntityType
|
定义 EntityType 的值。
KnownEntityType 可与 EntityType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
帐户:实体表示系统中的帐户。
主机:实体表示系统中的主机。
文件:实体表示系统中的文件。
AzureResource:实体表示系统中的 Azure 资源。
CloudApplication:实体表示系统中的云应用程序。
DNS:实体表示系统中的 dns。
FileHash:实体表示系统中的文件哈希。
IP:实体表示系统中的 IP。
恶意软件:实体表示系统中的恶意软件。
进程:实体表示系统中的进程。
RegistryKey:实体表示系统中的注册表项。
RegistryValue:实体表示系统中的注册表值。
SecurityGroup:实体表示系统中的安全组。
URL:实体表示系统中的 URL。
IoTDevice:实体表示系统中的 IoT 设备。
SecurityAlert:实体表示系统中的安全警报。
HuntingBookmark:实体表示系统中的 HuntingBookmark。
MailCluster:实体表示系统中的邮件群集。
MailMessage:实体表示系统中的邮件。
邮箱:实体表示系统中的邮箱。
SubmissionMail:实体表示系统中的提交邮件。
Nic:实体表示系统中的网络接口。
|
EntityUnion
|
Enum13
|
定义 Enum13 的值。
KnownEnum13 可与 Enum13 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
扩张
活动
|
EventGroupingAggregationKind
|
定义 EventGroupingAggregationKind 的值。
KnownEventGroupingAggregationKind 可与 EventGroupingAggregationKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
SingleAlert
AlertPerResult
|
FileFormat
|
定义 FileFormat 的值。
KnownFileFormat 可与 FileFormat 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
CSV:CSV 文件。
JSON:JSON 文件。
未指定:其他格式的文件。
|
FileHashAlgorithm
|
定义 FileHashAlgorithm 的值。
KnownFileHashAlgorithm 可与 FileHashAlgorithm 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:未知的哈希算法
MD5:MD5 哈希类型
SHA1:SHA1 哈希类型
SHA256:SHA256 哈希类型
SHA256AC:SHA256 验证码哈希类型
|
FileImportContentType
|
定义 FileImportContentType 的值。
KnownFileImportContentType 可与 FileImportContentType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
BasicIndicator:包含具有指示器核心字段的记录的文件,以及用于构造 STIX 模式的可观测对象。
StixIndicator:包含 STIX 指示器的文件。
未指定:包含其他记录的文件。
|
FileImportState
|
定义 FileImportState 的值。
KnownFileImportState 可与 FileImportState 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
FatalError:引入文件时发生严重错误。
引入:已引入文件。
IngestedWithErrors:引入文件时出现错误。
InProgress:文件引入正在进行中。
无效:文件无效。
WaitingForUpload:等待上传文件。
未指定:未指定状态。
|
FileImportsCreateResponse
|
包含创建操作的响应数据。
|
FileImportsDeleteResponse
|
包含删除操作的响应数据。
|
FileImportsGetResponse
|
包含获取操作的响应数据。
|
FileImportsListNextResponse
|
包含 listNext 操作的响应数据。
|
FileImportsListResponse
|
包含列表操作的响应数据。
|
GetInsightsError
|
定义 GetInsightsError 的值。
KnownGetInsightsError 可与 GetInsightsError 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
见解
|
IPGeodataGetResponse
|
包含获取操作的响应数据。
|
IncidentClassification
|
定义 IncidentClassification 的值。
KnownIncidentClassification 可与 IncidentClassification 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未确定:事件分类未确定
TruePositive:事件为真阳性
良性积极:事件为良性正
FalsePositive:事件为误报
|
IncidentClassificationReason
|
定义 IncidentClassificationReason 的值。
KnownIncidentClassificationReason 可与 IncidentClassificationReason 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
SuspiciousActivity:分类原因为可疑活动
SuspiciousButExpected:分类原因可疑但预期
IncorrectAlertLogic:分类原因是警报逻辑不正确
不准确的数据:分类原因是数据不准确
|
IncidentCommentsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
IncidentCommentsGetResponse
|
包含获取操作的响应数据。
|
IncidentCommentsListNextResponse
|
包含 listNext 操作的响应数据。
|
IncidentCommentsListResponse
|
包含列表操作的响应数据。
|
IncidentLabelType
|
定义 IncidentLabelType 的值。
KnownIncidentLabelType 可与 IncidentLabelType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
用户:用户手动创建的标签
自动分配:系统自动创建的标签
|
IncidentRelationsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
IncidentRelationsGetResponse
|
包含获取操作的响应数据。
|
IncidentRelationsListNextResponse
|
包含 listNext 操作的响应数据。
|
IncidentRelationsListResponse
|
包含列表操作的响应数据。
|
IncidentSeverity
|
定义 IncidentSeverity 的值。
KnownIncidentSeverity 可与 IncidentSeverity 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
高:高严重性
中:中等严重性
低:低严重性
信息性:信息严重性
|
IncidentStatus
|
定义 IncidentStatus 的值。
KnownIncidentStatus 可与 IncidentStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
新建:当前未处理的活动事件
活动:正在处理的活动事件
已关闭:非活动事件
|
IncidentsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
IncidentsCreateTeamResponse
|
包含 createTeam 操作的响应数据。
|
IncidentsGetResponse
|
包含获取操作的响应数据。
|
IncidentsListAlertsResponse
|
包含 listAlerts 操作的响应数据。
|
IncidentsListBookmarksResponse
|
包含 listBookmarks 操作的响应数据。
|
IncidentsListEntitiesResponse
|
包含 listEntities 操作的响应数据。
|
IncidentsListNextResponse
|
包含 listNext 操作的响应数据。
|
IncidentsListResponse
|
包含列表操作的响应数据。
|
IncidentsRunPlaybookResponse
|
包含 runPlaybook 操作的响应数据。
|
IngestionMode
|
定义 IngestionMode 的值。
KnownIngestionMode 可与 IngestionMode 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
IngestOnlyIfAllAreValid:检测到无效记录时,不应引入任何记录。
IngestAnyValidRecords:检测到无效记录时,仍应引入有效记录。
未指定:未指定
|
KillChainIntent
|
定义 KillChainIntent 的值。
KnownKillChainIntent 可与 KillChainIntent 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:默认值。
探测:探测可能是尝试访问特定资源,而不考虑恶意意图或尝试在利用之前获取目标系统的访问权限以收集信息失败。 此步骤通常被检测为源自网络外部的尝试,试图扫描目标系统并找到一种方法。
利用:利用是攻击者设法在受攻击的资源上站稳脚跟的阶段。 此阶段不仅适用于计算主机,也适用于用户帐户、证书等资源。在此阶段之后,攻击者通常能够控制资源。
持久性:持久性是对系统的任何访问、操作或配置更改,使攻击者在该系统上持久存在。 攻击者通常需要通过中断(例如系统重启、凭据丢失或其他需要远程访问工具重启或备用后门才能重新获得访问权限)来保持对系统的访问。
PrivilegeEscalation:特权提升是允许攻击者获取系统或网络上更高级别的权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。
防御评估:防御规避包括攻击者可用于逃避检测或避免其他防御的技术。 有时,这些操作与其他类别中的技术相同或变体,这些技术具有颠覆特定防御或缓解的额外好处。
CredentialAccess:凭据访问表示导致访问或控制企业环境中使用的系统、域或服务凭据的技术。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。
发现:发现包含一些技术,使攻击者能够获取有关系统和内部网络的知识。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。
LateralMovement:横向移动包括使攻击者能够访问和控制网络上的远程系统的技术,并且可以(但不一定)包括在远程系统上执行工具。 攻击者可利用这些横向移动方法从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。
执行:执行策略表示在本地或远程系统上执行攻击者控制的代码的技术。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。
集合:集合包含用于在外泄之前从目标网络识别和收集信息(如敏感文件)的技术。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
外泄:外泄是指导致或帮助攻击者从目标网络中删除文件和信息的技术和属性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
CommandAndControl:命令和控制策略表示攻击者如何在目标网络中与受其控制的系统通信。
影响:影响意图的主要目标是直接降低系统、服务或网络的可用性或完整性;包括操作数据以影响业务或运营过程。 这通常是指勒索、污损、数据操纵等技术。
|
Kind
|
定义 Kind 的值。
KnownKind 可与 Kind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
DataConnector
DataType
工作簿
WorkbookTemplate
演练手册
PlaybookTemplate
AnalyticsRuleTemplate
AnalyticsRule
HuntingQuery
InvestigationQuery
Parser
Watchlist
WatchlistTemplate
解决方案
AzureFunction
LogicAppsCustomConnector
AutomationRule
|
MatchingMethod
|
定义 MatchingMethod 的值。
KnownMatchingMethod 可与 MatchingMethod 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AllEntities:如果所有实体都匹配,将警报分组为单个事件
AnyAlert:将此规则触发的任何警报分组到单个事件中
已选择:如果所选实体、自定义详细信息和警报详细信息匹配,将警报分组为单个事件
|
MetadataCreateResponse
|
包含创建操作的响应数据。
|
MetadataGetResponse
|
包含获取操作的响应数据。
|
MetadataListNextResponse
|
包含 listNext 操作的响应数据。
|
MetadataListResponse
|
包含列表操作的响应数据。
|
MetadataUpdateResponse
|
包含更新操作的响应数据。
|
MicrosoftSecurityProductName
|
定义 MicrosoftSecurityProductName 的值。
KnownMicrosoftSecurityProductName 可与 MicrosoftSecurityProductName 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Microsoft Cloud App Security
Azure 安全中心
Azure 高级威胁防护
Azure Active Directory 标识保护
适用于 IoT 的 Azure 安全中心
Office 365 高级威胁防护
Microsoft Defender 高级威胁防护
|
OSFamily
|
定义 OSFamily 的值。
|
OfficeConsentsGetResponse
|
包含获取操作的响应数据。
|
OfficeConsentsListNextResponse
|
包含 listNext 操作的响应数据。
|
OfficeConsentsListResponse
|
包含列表操作的响应数据。
|
OperationsListNextResponse
|
包含 listNext 操作的响应数据。
|
OperationsListResponse
|
包含列表操作的响应数据。
|
Operator
|
定义 Operator 的值。
KnownOperator 可与 Operator 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AND
或者
|
OutputType
|
定义 OutputType 的值。
KnownOutputType 可与 OutputType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
数字
字符串
Date
实体
|
OwnerType
|
定义 OwnerType 的值。
KnownOwnerType 可与 OwnerType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
未知:事件所有者类型未知
用户:事件所有者类型为 AAD 用户
组:事件所有者类型为 AAD 组
|
PermissionProviderScope
|
定义 PermissionProviderScope 的值。
KnownPermissionProviderScope 可与 PermissionProviderScope 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
ResourceGroup
订阅
工作区
|
PollingFrequency
|
定义 PollingFrequency 的值。
KnownPollingFrequency 可与 PollingFrequency 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
OnceAMinute:每分钟一次
OnceAnHour:每小时一次
OnceADay:每天一次
|
ProductSettingsGetResponse
|
包含获取操作的响应数据。
|
ProductSettingsListResponse
|
包含列表操作的响应数据。
|
ProductSettingsUpdateResponse
|
包含更新操作的响应数据。
|
ProviderName
|
定义 ProviderName 的值。
KnownProviderName 可与 ProviderName 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Microsoft.OperationalInsights/solutions
Microsoft.OperationalInsights/workspaces
Microsoft.OperationalInsights/workspaces/datasources
microsoft.aadiam/diagnosticSettings
Microsoft.OperationalInsights/workspaces/sharedKeys
Microsoft.Authorization/policyAssignments
|
RegistryHive
|
定义 RegistryHive 的值。
KnownRegistryHive 可与 RegistryHive 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
HKEY_LOCAL_MACHINE:HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT:HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG:HKEY_CURRENT_CONFIG
HKEY_USERS:HKEY_USERS
HKEY_CURRENT_USER_LOCAL_SETTINGS:HKEY_CURRENT_USER_LOCAL_SETTINGS
HKEY_PERFORMANCE_DATA:HKEY_PERFORMANCE_DATA
HKEY_PERFORMANCE_NLSTEXT:HKEY_PERFORMANCE_NLSTEXT
HKEY_PERFORMANCE_TEXT:HKEY_PERFORMANCE_TEXT
HKEY_A:HKEY_A
HKEY_CURRENT_USER:HKEY_CURRENT_USER
|
RegistryValueKind
|
定义 RegistryValueKind 的值。
KnownRegistryValueKind 可与 RegistryValueKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
无:无
未知:未知值类型
字符串:字符串值类型
ExpandString:ExpandString 值类型
Binary:二进制值类型
DWord:DWord 值类型
MultiString:MultiString 值类型
QWord:QWord 值类型
|
RepoType
|
定义 RepoType 的值。
KnownRepoType 可与 RepoType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Github
DevOps
|
SecurityMLAnalyticsSettingUnion
|
SecurityMLAnalyticsSettingsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
SecurityMLAnalyticsSettingsGetResponse
|
包含获取操作的响应数据。
|
SecurityMLAnalyticsSettingsKind
|
定义 SecurityMLAnalyticsSettingsKind 的值。
KnownSecurityMLAnalyticsSettingsKind 可与 SecurityMLAnalyticsSettingsKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
异常
|
SecurityMLAnalyticsSettingsListNextResponse
|
包含 listNext 操作的响应数据。
|
SecurityMLAnalyticsSettingsListResponse
|
包含列表操作的响应数据。
|
SentinelOnboardingStatesCreateResponse
|
包含创建操作的响应数据。
|
SentinelOnboardingStatesGetResponse
|
包含获取操作的响应数据。
|
SentinelOnboardingStatesListResponse
|
包含列表操作的响应数据。
|
SettingKind
|
定义 SettingKind 的值。
KnownSettingKind 可与 SettingKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
异常
EyesOn
EntityAnalytics
Ueba
|
SettingType
|
定义 SettingType 的值。
KnownSettingType 可与 SettingType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
CopyableLabel
InstructionStepsGroup
InfoMessage
|
SettingsStatus
|
定义 SettingsStatus 的值。
KnownSettingsStatus 可与 SettingsStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
生产:生产模式下的异常设置状态
外部测试:外部测试模式下的异常设置状态
|
SettingsUnion
|
SourceControlListRepositoriesNextResponse
|
包含 listRepositoriesNext 操作的响应数据。
|
SourceControlListRepositoriesResponse
|
包含 listRepositories 操作的响应数据。
|
SourceControlsCreateResponse
|
包含创建操作的响应数据。
|
SourceControlsGetResponse
|
包含获取操作的响应数据。
|
SourceControlsListNextResponse
|
包含 listNext 操作的响应数据。
|
SourceControlsListResponse
|
包含列表操作的响应数据。
|
SourceKind
|
定义 SourceKind 的值。
KnownSourceKind 可与 SourceKind 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
LocalWorkspace
社区
解决方案
SourceRepository
|
SourceType
|
定义 SourceType 的值。
KnownSourceType 可与 SourceType 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
本地文件
远程存储
|
SupportTier
|
定义 SupportTier 的值。
KnownSupportTier 可与 SupportTier 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
Microsoft
合作伙伴
社区
|
TemplateStatus
|
定义 TemplateStatus 的值。
KnownTemplateStatus 可与 TemplateStatus 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
已安装:已安装警报规则模板。 并且不能再使用一次
可用:警报规则模板可用。
NotAvailable:警报规则模板不可用
|
ThreatIntelligenceIndicatorCreateIndicatorResponse
|
包含 createIndicator 操作的响应数据。
|
ThreatIntelligenceIndicatorCreateResponse
|
包含创建操作的响应数据。
|
ThreatIntelligenceIndicatorGetResponse
|
包含获取操作的响应数据。
|
ThreatIntelligenceIndicatorMetricsListResponse
|
包含列表操作的响应数据。
|
ThreatIntelligenceIndicatorQueryIndicatorsNextResponse
|
包含 queryIndicatorsNext 操作的响应数据。
|
ThreatIntelligenceIndicatorQueryIndicatorsResponse
|
包含 queryIndicators 操作的响应数据。
|
ThreatIntelligenceIndicatorReplaceTagsResponse
|
包含 replaceTags 操作的响应数据。
|
ThreatIntelligenceIndicatorsListNextResponse
|
包含 listNext 操作的响应数据。
|
ThreatIntelligenceIndicatorsListResponse
|
包含列表操作的响应数据。
|
ThreatIntelligenceInformationUnion
|
ThreatIntelligenceResourceKindEnum
|
定义 ThreatIntelligenceResourceKindEnum 的值。
KnownThreatIntelligenceResourceKindEnum 可与 ThreatIntelligenceResourceKindEnum 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
指示符:实体表示系统中的威胁智能指示器。
|
ThreatIntelligenceSortingCriteriaEnum
|
定义 ThreatIntelligenceSortingCriteriaEnum 的值。
KnownThreatIntelligenceSortingCriteriaEnum 可与 ThreatIntelligenceSortingCriteriaEnum 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
排序
ascending
descending
|
TriggerOperator
|
定义 TriggerOperator 的值。
|
TriggersOn
|
定义 TriggersOn 的值。
KnownTriggersOn 可与 TriggersOn 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
事件:对事件触发
警报:在警报上触发
|
TriggersWhen
|
定义 TriggersWhen 的值。
KnownTriggersWhen 可以与 Triggers 互换使用时,此枚举包含服务支持的已知值。
服务支持的已知值
已创建:对创建的对象触发
已更新:对更新的对象触发
|
UebaDataSources
|
定义 UebaDataSources 的值。
KnownUebaDataSources 可与 UebaDataSources 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
AuditLogs
AzureActivity
SecurityEvent
SigninLogs
|
Version
|
定义 Version 的值。
KnownVersion 可与 Version 互换使用,此枚举包含服务支持的已知值。
服务支持的已知值
V1
V2
|
WatchlistItemsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
WatchlistItemsGetResponse
|
包含获取操作的响应数据。
|
WatchlistItemsListNextResponse
|
包含 listNext 操作的响应数据。
|
WatchlistItemsListResponse
|
包含列表操作的响应数据。
|
WatchlistsCreateOrUpdateResponse
|
包含 createOrUpdate 操作的响应数据。
|
WatchlistsDeleteResponse
|
包含删除操作的响应数据。
|
WatchlistsGetResponse
|
包含获取操作的响应数据。
|
WatchlistsListNextResponse
|
包含 listNext 操作的响应数据。
|
WatchlistsListResponse
|
包含列表操作的响应数据。
|