AlertEvidence

包含與警示相關聯的檔案、IP 位址、URL、使用者或裝置。

數據表屬性

屬性	值
資源類型	-
類別	安全性
方案	SecurityInsights
基本記錄檔	No
擷取時間轉換	Yes
範例查詢	是

資料行

資料行	類型	Description
AccountDomain	字串	帳戶的網域。
AccountName	字串	帳戶的用戶名稱。
AccountObjectId	字串	Azure Active Directory 中帳戶的唯一標識碼。
AccountSid	字串	帳戶的安全性標識碼 (SID) 。
AccountUpn	字串	帳戶 (UPN) 的用戶主體名稱。
AdditionalFields	動態	JSON 陣語格式之事件的其他資訊。
AlertId	字串	警示的唯一標識碼。
Application	string	執行錄製動作的應用程式。
ApplicationId	int	應用程式的唯一標識碼。
AttackTechniques	字串	MITRE ATT&與觸發警示的活動相關聯的 CK 技術。
_BilledSize	real	以位元組為單位的記錄大小
類別	字串	資訊所屬的類別清單，格式為 JSON 陣列格式。
DetectionSource	字串	識別值得注意元件或活動的偵測技術或感測器。
DeviceId	字串	服務中裝置的唯一標識符。
DeviceName	字串	計算機的完整功能變數名稱 (FQDN) 。
EmailSubject	字串	電子郵件的主旨。
EntityType	字串	對象的類型，例如檔案、進程、裝置或使用者。
EvidenceDirection	字串	指出實體是網路連線的來源或目的地。
EvidenceRole	字串	實體在警示中的涉及方式，指出它是否受到影響或只是相關。
FileName	字串	已套用記錄動作的檔名。
FileSize	long	檔案大小，以位元組為單位。
FolderPath	字串	包含已錄製動作已套用檔案的資料夾。
_IsBillable	字串	指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時
LocalIP	字串	指派給通訊期間所用本機裝置的IP位址。
NetworkMessageId	字串	電子郵件的唯一標識碼，由 Office 365產生。
OAuthApplicationId	字串	第三方 OAuth 應用程式的唯一標識碼。
ProcessCommandLine	字串	用來建立新程式的命令行。
RegistryKey	字串	已記錄動作已套用至的登錄機碼。
RegistryValueData	字串	已套用記錄動作的登錄值數據。
RegistryValueName	字串	套用記錄動作的登錄值名稱。
RemoteIP	字串	所連線的IP位址。
RemoteUrl	字串	所連線的 FQDN (URL 或完整域名) 。
ServiceSource	字串	提供警示資訊的產品或服務。
SHA1	字串	已記錄動作已套用的檔案 SHA-1。
SHA256	字串	已記錄動作已套用的檔案SHA-256。 通常不會填入此欄位，請在可用時使用 SHA1 資料行。
SourceSystem	字串	事件所收集的代理程序類型。 例如，針對 Windows 代理程式、OpsManager直接連線或 Operations Manager、Linux所有 Linux 代理程式，或Azure針對 Azure 診斷
TenantId	字串	Log Analytics 工作區標識符
ThreatFamily	字串	可疑或惡意檔案或進程分類的惡意代碼系列。
TimeGenerated	Datetime	產生記錄時的日期和時間 (UTC) 。
Title	字串	警示的標題。
類型	字串	資料表的名稱