異常
下表包含 Azure Sentinel 中作用中異常分析規則所產生的異常狀況。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| ActivityInsights |
dynamic |
與產生的異常對應為 JSON 之活動的相關深入解析。 |
| AnomalyDetails |
dynamic |
JSON 物件,其中包含產生異常規則和演算法的一般資訊,以及異常的說明。 |
| AnomalyReasons |
dynamic |
產生的異常作為 JSON 的詳細說明。 |
| AnomalyTemplateId |
字串 |
產生此異常之異常範本的標識碼。 |
| AnomalyTemplateName |
字串 |
產生此異常的 Anomaly 範本名稱。 |
| AnomalyTemplateVersion |
字串 |
產生此異常的 Anomaly 範本版本。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 描述 |
字串 |
異常的描述。 |
| DestinationDevice |
字串 |
產生異常的目的地裝置。 |
| DestinationIpAddress |
字串 |
產生異常的目的地IP位址。 |
| DestinationLocation |
dynamic |
關於產生異常之目的地位置的資訊,其為 JSON。 |
| DeviceInsights |
dynamic |
對應至所產生異常之裝置的深入解析,以 JSON 表示。 |
| EndTime |
Datetime |
異常結束的時間(UTC)。 |
| 實體 |
dynamic |
JSON 物件,包含所產生異常所涉及的所有實體。 |
| ExtendedLinks |
dynamic |
指向產生異常之數據的連結清單。 |
| ExtendedProperties |
dynamic |
JSON 物件,具有異常的其他數據做為索引鍵/值組。 |
| Id |
字串 |
產生的異常標識碼。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| RuleConfigVersion |
字串 |
產生此異常之異常分析規則的組態版本。 |
| RuleId |
字串 |
產生此異常之異常分析規則的標識碼。 |
| RuleName |
字串 |
產生此異常的異常分析規則名稱。 |
| RuleStatus |
字串 |
產生此異常之異常分析規則的狀態(正式發行前小眾測試/生產)。 |
| 分數 |
real |
異常的分數。 |
| SourceDevice |
字串 |
產生異常的來源裝置。 |
| SourceIpAddress |
字串 |
產生異常的來源IP位址。 |
| SourceLocation |
dynamic |
關於產生異常之來源位置的信息作為 JSON。 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式,無論是直接連線或 Operations Manager,Linux適用於所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| StartTime |
Datetime |
異常開始的時間(UTC)。 |
| 策略 |
字串 |
對應到異常的 MITRE ATT&CK 策略 (字串) 清單。 |
| 技術 |
字串 |
列出對應至異常的 MITRE ATT&CK 技術(字串)。 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
產生異常時的時間戳 (UTC)。 |
| 型別 |
string |
資料表的名稱 |
| UserInsights |
dynamic |
與產生的異常對應的使用者深入解析,以 JSON 表示。 |
| UserName |
字串 |
產生異常的用戶名稱。 |
| UserPrincipalName |
字串 |
產生異常之使用者的UPN。 |
| VendorName |
字串 |
產生此異常之廠商的名稱。 |
| WorkspaceId |
字串 |
Sentinel 工作區的標識碼。 |