Azure Sentinel 動態摘要提供安全資料儲存,以保存搜尋、調查、偵測的集中結果和摘要。 摘要描述和詳細的可觀察數據可以儲存在 Log Analytics 中,以便進一步分析和產生報告。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
- |
| 方案 |
SecurityInsights |
| 基本記錄 |
否 |
| 擷取時間轉換 |
否 |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| AzureTenantId |
字串 |
此 DynamicSummary 資料表所屬的 AAD 租用戶識別碼。 |
| _BilledSize(帳單大小) |
real |
以位元組為單位的記錄大小 |
| CreatedBy |
動態 |
JSON 物件,其中包含建立摘要的使用者,包括:對象標識碼、電子郵件和名稱。 |
| 建立時間(UTC) |
Datetime |
建立摘要的時間 (UTC)。 |
| 事件時間 (UTC) |
Datetime |
最初發生摘要項目的時間 (UTC)。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,匯入不會向您的 Azure 帳戶收費 |
| ObservableType |
字串 |
可觀察量是與計算系統運作相關的具狀態的事件或屬性,有助於識別入侵指標。 例如,登入。 |
| 可觀察值 |
字串 |
可觀察類型的值,例如:異常 RDP 活動。 |
| PackedContent |
動態 |
JSON 物件已封裝數據行,可使用 KQL pack_all() 產生。 |
| 查詢 |
字串 |
這是用來產生結果的查詢。 |
| 查詢結束日期 |
Datetime |
此日期時間之前發生的事件將會包含在結果中。 |
| 查詢開始日期 |
Datetime |
此日期時間之後發生的事件將會包含在結果中。 |
| RelationId |
字串 |
原始數據源標識碼 |
| RelationName |
字串 |
原始數據來源名稱。 |
| SearchKey |
字串 |
使用 DynamicSummary 與其他數據聯結時,SearchKey 可用來優化查詢效能。 例如,啟用具有IP位址的數據行成為指定的SearchKey欄位,然後使用此欄位依IP位址加入其他事件數據表。 |
| SourceInfo |
動態 |
包含數據產生者資訊的 JSON 物件,包括來源、名稱、版本。 |
| SourceSystem |
字串 |
所收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| 摘要數據類型 |
字串 |
此旗標用來判斷記錄是否為摘要層級或摘要專案層級記錄。 |
| 摘要描述 |
字串 |
使用者提供的描述。 |
| SummaryId |
字串 |
摘要唯一識別碼。 |
| SummaryItemId |
字串 |
摘要項目唯一識別碼。 |
| 摘要名稱 |
字串 |
摘要顯示名稱,在工作區內是唯一的。 |
| SummaryStatus |
字串 |
作用中或已刪除。 |
| 策略 |
動態 |
MITRE ATT&CK 策略是攻擊者嘗試達成的目標。 例如,外洩。 |
| 技巧 |
動態 |
MITRE ATT&CK 技術是這些策略的完成方式。 |
| 租戶識別碼 (TenantId) |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
事件擷取至 Azure 監視器時的時間戳(UTC)。 |
| 類型 |
字串 |
資料表的名稱 |
| UpdatedBy |
動態 |
JSON 物件,其中包含更新摘要的使用者,包括:對象標識碼、電子郵件和名稱。 |
| 更新時間UTC |
Datetime |
摘要更新的時間(UTC)。 |