AlertEvidence
包含與警示相關聯的檔案、IP 位址、URL、使用者或裝置。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AccountDomain | 字串 | 帳戶的網域。 |
AccountName | 字串 | 帳戶的用戶名稱。 |
AccountObjectId | 字串 | Azure Active Directory 中帳戶的唯一標識碼。 |
AccountSid | 字串 | 帳戶的安全性標識碼 (SID) 。 |
AccountUpn | 字串 | 帳戶 (UPN) 的用戶主體名稱。 |
AdditionalFields | 動態 | JSON 陣語格式之事件的其他資訊。 |
AlertId | 字串 | 警示的唯一標識碼。 |
Application | string | 執行錄製動作的應用程式。 |
ApplicationId | int | 應用程式的唯一標識碼。 |
AttackTechniques | 字串 | MITRE ATT&與觸發警示的活動相關聯的 CK 技術。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
類別 | 字串 | 資訊所屬的類別清單,格式為 JSON 陣列格式。 |
DetectionSource | 字串 | 識別值得注意元件或活動的偵測技術或感測器。 |
DeviceId | 字串 | 服務中裝置的唯一標識符。 |
DeviceName | 字串 | 計算機的完整功能變數名稱 (FQDN) 。 |
EmailSubject | 字串 | 電子郵件的主旨。 |
EntityType | 字串 | 對象的類型,例如檔案、進程、裝置或使用者。 |
EvidenceDirection | 字串 | 指出實體是網路連線的來源或目的地。 |
EvidenceRole | 字串 | 實體在警示中的涉及方式,指出它是否受到影響或只是相關。 |
FileName | 字串 | 已套用記錄動作的檔名。 |
FileSize | long | 檔案大小,以位元組為單位。 |
FolderPath | 字串 | 包含已錄製動作已套用檔案的資料夾。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
LocalIP | 字串 | 指派給通訊期間所用本機裝置的IP位址。 |
NetworkMessageId | 字串 | 電子郵件的唯一標識碼,由 Office 365產生。 |
OAuthApplicationId | 字串 | 第三方 OAuth 應用程式的唯一標識碼。 |
ProcessCommandLine | 字串 | 用來建立新程式的命令行。 |
RegistryKey | 字串 | 已記錄動作已套用至的登錄機碼。 |
RegistryValueData | 字串 | 已套用記錄動作的登錄值數據。 |
RegistryValueName | 字串 | 套用記錄動作的登錄值名稱。 |
RemoteIP | 字串 | 所連線的IP位址。 |
RemoteUrl | 字串 | 所連線的 FQDN (URL 或完整域名) 。 |
ServiceSource | 字串 | 提供警示資訊的產品或服務。 |
SHA1 | 字串 | 已記錄動作已套用的檔案 SHA-1。 |
SHA256 | 字串 | 已記錄動作已套用的檔案SHA-256。 通常不會填入此欄位,請在可用時使用 SHA1 資料行。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatFamily | 字串 | 可疑或惡意檔案或進程分類的惡意代碼系列。 |
TimeGenerated | Datetime | 產生記錄時的日期和時間 (UTC) 。 |
Title | 字串 | 警示的標題。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應