ConfidentialWatchlist
Azure Sentinel 機密監看清單包含 CSV 檔案中匯入的數據,可用來聯結或篩選為警示/事件條件。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | No |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AzureTenantId | 字串 | 此 Watchlist 數據表所屬的 AAD 租使用者識別碼。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
CorrelationId | 字串 | 相互關聯事件的識別碼。 |
CreatedBy | 動態 | JSON 物件,其中包含建立 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
CreatedTimeUTC | datetime | 第一次建立 [監看式清單] 或 [監看式清單] 項目的時間 (UTC) 。 |
DefaultDuration | 字串 | JSON 物件,描述監看清單每個專案在建立時應該繼承的默認持續時間。 默認持續時間有下列格式:P (n) Y (n) M (n) DT (n) H (n) M (n) S,其中 P、Y、M、DT、H、M 和 S 不可變。 例如,P3Y6M4DT12H30M9S代表三年、六個月、四天、十二小時、三十分鐘和九秒的持續時間。 |
_DTItemId | 字串 | Watchlist 或 Watchlist 專案唯一標識符。 例如,Watchlist 'RiskyUsers' 可以包含 Watchlist 專案 'Name:John Doe;email:johndoe@contoso.com'。 關注清單專案具有唯一標識符,且屬於監看清單。 包含的 Watchlist 可以使用 'WatchlistId' 識別。 |
_DTItemStatus | 字串 | 是否已由使用者建立、更新或刪除 Watchlist 或 Watchlist 專案。 例如,Watchlist 'RiskyUsers' 可以包含 Watchlist 專案 'Name:John Doe;email:johndoe@contoso.com'。 如果已新增監看清單,狀態會是「已建立」。 如果關注清單的名稱從 『RiskyUsers』 更新為 'RiskyEmployees',則狀態會是 'Updated'。 |
_DTItemType | 字串 | 區分監看式清單和監看式清單專案。 例如,Watchlist 'RiskyUsers' 可以包含 Watchlist 專案 'Name:John Doe;email:johndoe@contoso.com'。 Watchlist 專案類型將屬於 Watchlist 類型,而且可以使用 'WatchlistId' 識別包含的 Watchlist。 |
_DTTimestamp | datetime | 產生事件的時間 (UTC) 。 |
EntityMapping | 動態 | 具有 Azure Sentinel 實體對應至輸入數據行的 JSON 物件。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
LastUpdatedTimeUTC | datetime | 上次更新 [監看式清單] 或 [監看式清單] 項目的時間 (UTC) 。 |
備註 | 字串 | 使用者所提供的附注。 |
提供者 | 字串 | 關注清單的輸入提供者。 |
SearchKey | 字串 | SearchKey 可用來優化使用監看清單與其他數據聯結時的查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後使用此欄位依 IP 位址在其他事件資料表中聯結。 |
Source | 字串 | 關注清單的輸入來源。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
標籤 | 字串 | 使用者提供的標籤 JSON 陣列。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 當產生事件時,時間戳 (UTC) 。 |
timeToLive | datetime | Watchlist 記錄的存留時間,以日期與時間表示 (例如 2020-08-20T17:00:00.9618037Z) 。 其原始值繼承自 Watchlist 的預設持續時間。 如果 TimeToLive 通過,則會將記錄視為已刪除。 您可以藉由更新 TimeToLive 值,隨時擴充記錄的持續時間。 |
類型 | 字串 | 資料表的名稱 |
UpdatedBy | 動態 | JSON 物件,其中包含上次更新 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
WatchlistAlias | 字串 | 參考關注清單的唯一字串。 |
WatchlistCategory | 字串 | 使用者提供的 [關注清單] 類別。 |
WatchlistId | 字串 | Resource Manager 關注清單資源名稱。 |
WatchlistItem | 動態 | 來自輸入關注清單來源之索引鍵/值組的 JSON 物件。 |
WatchlistItemId | 字串 | Watchlist 專案唯一標識符。 |
WatchlistName | 字串 | Watchlist 的顯示名稱。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應