事件
ConfidentialWatchlist
Azure Sentinel 機密監看清單包含 CSV 檔案的匯入數據,可用來聯結或篩選為警示/事件條件。
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄 | No |
| 擷取時間轉換 | No |
| 範例查詢 | 是 |
| 資料行 | 類型 | 描述 |
|---|---|---|
| AzureTenantId | 字串 | 此 Watchlist 數據表所屬的 AAD 租使用者識別碼。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CorrelationId | 字串 | 相互關聯事件的識別碼。 |
| 建立者 | dynamic | JSON 物件,其中包含建立 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
| CreatedTimeUTC | Datetime | 第一次建立監看清單或監看清單項目的時間(UTC)。 |
| DefaultDuration | 字串 | JSON 物件,描述監看清單每個專案在建立時應繼承的默認持續時間。 默認持續時間有下列格式:P(n)Y(n)DT(n)H(n)M(n)M(n)S,其中 P、Y、M、DT、H、M 和 S 不可變。 例如,P3Y6M4DT12H30M9S代表三年、六個月、四天、十二小時、三十分和九秒的持續時間。 |
| _DTItemId | 字串 | Watchlist 或 Watchlist 專案唯一標識符。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 關注清單專案具有唯一標識符,且屬於監看清單。 包含的 Watchlist 可以使用 『WatchlistId' 來識別。 |
| _DTItemStatus | 字串 | 使用者已建立、更新或刪除監看清單或監看清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 如果已新增監看清單,狀態會是「已建立」。 如果關注清單的名稱從 'RiskyUsers' 更新為 'RiskyEmployees',狀態會是 「已更新」。 |
| _DTItemType | 字串 | 區分監看清單和監看式清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 Watchlist 專案類型將屬於 Watchlist 類型,且包含的 Watchlist 可以使用 'WatchlistId' 來識別。 |
| _DTTimestamp | Datetime | 產生事件的時間 (UTC)。 |
| EntityMapping | dynamic | JSON 物件與 Azure Sentinel 實體對應至輸入數據行。 |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LastUpdatedTimeUTC | Datetime | 上次更新監看清單或監看清單項目的時間(UTC)。 |
| 備註 | 字串 | 使用者提供的附注。 |
| 提供者 | 字串 | Watchlist 的輸入提供者。 |
| SearchKey | 字串 | 使用監看清單與其他數據聯結時,SearchKey 可用來優化查詢效能。 例如,啟用具有IP位址的數據行成為指定的SearchKey欄位,然後使用此欄位依IP位址加入其他事件數據表。 |
| 來源 | 字串 | Watchlist 的輸入來源。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| 標籤 | 字串 | 使用者提供的標記 JSON 陣列。 |
| TenantId | 字串 | Log Analytics 工作區識別碼 |
| TimeGenerated | Datetime | 產生事件時的時間戳 (UTC)。 |
| TimeToLive | Datetime | 監看清單記錄的存留時間,以日期與時間表示(例如 2020-08-20T17:00:00.9618037Z)。 其原始值繼承自 Watchlist 的預設持續時間。 如果 TimeToLive 通過,則會將記錄視為已刪除。 您可以藉由更新 TimeToLive 值,隨時擴充記錄的持續時間。 |
| 型別 | string | 資料表的名稱 |
| UpdatedBy | dynamic | 具有上次更新 Watchlist 或 Watchlist 專案之使用者的 JSON 物件,包括:對象識別碼、電子郵件和名稱。 |
| WatchlistAlias | 字串 | 參考 Watchlist 的唯一字串。 |
| WatchlistCategory | 字串 | 使用者提供的關注清單類別。 |
| WatchlistId | 字串 | Resource Manager 關注清單資源名稱。 |
| WatchlistItem | dynamic | 來自輸入關注清單來源之索引鍵/值組的 JSON 物件。 |
| WatchlistItemId | 字串 | 關注清單專案的唯一標識符。 |
| WatchlistName | 字串 | Watchlist 的顯示名稱。 |
其他資源
訓練
文件
-
Azure 監視器記錄參考 - HuntingBookmark - Azure Monitor
Azure 監視器記錄中的 HuntingBookmark 數據表參考。
-
Azure 監視器記錄參考 - LAQueryLogs - Azure Monitor
Azure 監視器記錄中 LAQueryLogs 數據表的參考。
-
AlertEvidence 的記錄數據表查詢範例 - Azure Monitor
AlertEvidence 記錄數據表的範例查詢