AlertEvidence
包含與警示相關聯的檔案、IP 位址、URL、使用者或裝置。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| AccountDomain |
字串 |
帳戶的網域。 |
| AccountName |
字串 |
帳戶的用戶名稱。 |
| AccountObjectId |
字串 |
Azure Active Directory 中帳戶的唯一標識碼。 |
| AccountSid |
字串 |
帳戶的安全性識別碼(SID)。 |
| AccountUpn |
字串 |
帳戶的用戶主體名稱(UPN)。 |
| AdditionalFields |
dynamic |
JSON 陣列格式中事件的其他資訊。 |
| AlertId |
字串 |
警示的唯一標識碼。 |
| 申請 |
字串 |
執行錄製動作的應用程式。 |
| ApplicationId |
int |
應用程式的唯一標識碼。 |
| AttackTechniques |
字串 |
與觸發警示的活動相關聯的 MITRE ATT&CK 技術。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 類別 |
字串 |
資訊所屬的類別清單,以 JSON 陣列格式表示。 |
| DetectionSource |
字串 |
識別值得注意元件或活動的偵測技術或感測器。 |
| DeviceId |
字串 |
服務中裝置的唯一標識符。 |
| DeviceName |
字串 |
機器的完整功能變數名稱(FQDN)。 |
| EmailSubject |
字串 |
電子郵件的主旨。 |
| EntityType |
字串 |
對象的類型,例如檔案、進程、裝置或使用者。 |
| EvidenceDirection |
字串 |
指出實體是網路連線的來源或目的地。 |
| EvidenceRole |
字串 |
實體在警示中的參與方式,指出它是否受到影響或只是相關。 |
| FileName |
字串 |
已記錄動作已套用的檔名。 |
| FileSize |
long |
檔案大小,以位元組為單位。 |
| FolderPath |
字串 |
包含已記錄動作已套用至之檔案的資料夾。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| LocalIP |
字串 |
指派給通訊期間使用之本機裝置的IP位址。 |
| NetworkMessageId |
字串 |
Office 365 所產生的電子郵件唯一標識符。 |
| OAuthApplicationId |
字串 |
第三方 OAuth 應用程式的唯一標識碼。 |
| ProcessCommandLine |
字串 |
用來建立新程式的命令行。 |
| RegistryKey |
字串 |
已記錄動作已套用的登錄機碼。 |
| RegistryValueData |
字串 |
記錄動作已套用的登錄值數據。 |
| RegistryValueName |
字串 |
已套用記錄動作之登錄值的名稱。 |
| RemoteIP |
字串 |
所連線的IP位址。 |
| RemoteUrl |
字串 |
所連線的 URL 或完整功能變數名稱 (FQDN)。 |
| ServiceSource |
字串 |
提供警示資訊的產品或服務。 |
| SHA1 |
字串 |
已記錄動作已套用的檔案 SHA-1。 |
| SHA256 |
字串 |
已記錄動作已套用的檔案SHA-256。 當可用時,通常不會填入此字段-使用 SHA1 資料行。 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| ThreatFamily |
字串 |
可疑或惡意檔案或進程已分類的惡意代碼系列。 |
| TimeGenerated |
Datetime |
產生記錄的日期和時間(UTC)。 |
| 標題 |
字串 |
警示的標題。 |
| 型別 |
string |
資料表的名稱 |