Google Cloud Platform IDS 數據連接器提供使用計算引擎 API 將雲端標識碼記錄內嵌至 Microsoft Sentinel 的功能。 這可藉由監視網路流量和識別可疑活動,來偵測和回應Google Cloud環境中的潛在威脅。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
否 |
|
範例查詢 |
- |
欄位
| 資料行 |
類型 |
說明 |
| 警報嚴重程度 |
字符串 |
威脅的嚴重性。 其中一個資訊性、低、中、高或關鍵。 |
| 警示時間 |
日期時間 |
發現威脅的時間。 |
| 應用程式 |
字符串 |
可疑流量的應用程式類型,例如 SSH。 |
| 身份驗證信息主要電子郵件 |
字符串 |
起始要求之已驗證使用者或服務帳戶的電子郵件位址。 |
| 授權資訊 |
字符串 |
有關操作評估的權限或角色資訊。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| 類別 |
字符串 |
威脅的子類型。 |
| CVE |
字符串 |
與威脅相關聯的 CVE 清單。 |
| 目標IP位址 |
字符串 |
可疑的流量目的地 IP 位址。 |
| 目的港口 |
字符串 |
可疑的流量目的地埠。 |
| 詳細資訊 |
字符串 |
關於威脅類型的其他資訊。 |
| 方向 |
字符串 |
可疑的流量方向(客戶端對伺服器或伺服器對用戶端)。 |
| 經過時間 |
字符串 |
會話經過的時間。 |
| InsertId |
字符串 |
日志條目的唯一標識碼。 |
| 網際網路協定 |
字符串 |
可疑流量的IP協定。 |
| _IsBillable // 是否可計費 |
字符串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| JsonPayloadName |
字符串 |
威脅名稱。 |
| JsonPayloadType |
字符串 |
威脅的類型。 |
| 日誌名稱 |
字符串 |
包含資源路徑的完整記錄檔名稱。 |
| 方法名稱 |
字符串 |
叫用的 API 方法或函式名稱。 |
| 網路 |
字符串 |
與 IDS 端點相關聯的網路。 |
| NumResponseItems (回應項目數量) |
字符串 |
如果適用,回應中傳回的項目數量。 |
| OperationFirst |
布爾 (bool) |
表示這是操作序列中的第一個日誌項目。 |
| OperationId |
字符串 |
作業的唯一識別碼,有助於跨記錄的追蹤和關聯。 |
| OperationLast |
布爾 (bool) |
這是否為一系列操作中的最後一個日誌條目。 |
| OperationProducer |
字符串 |
產生作業的元件或服務。 |
| 載荷類型 |
字符串 |
與要求相關聯的承載類型或格式。 |
| 接收時間戳 |
日期時間 |
雲端記錄收到記錄項目的時間。 |
| 重複次數 |
字符串 |
5秒內檢測到的相同來源IP、目的地IP、應用程式和類型的會話數量。 |
| RequestEndpointId |
字符串 |
處理要求之端點的唯一標識符。 |
| RequestEndpointName |
字符串 |
要求傳送至的端點名稱。 |
| 請求端點網絡 |
字符串 |
用來存取端點的網路路徑或名稱。 |
| RequestEndpointSeverity |
字符串 |
與威脅偵測或存取相關的情境中,與終端相關聯的嚴重性。 |
| 請求端點威脅例外設定 |
字符串 |
如果有任何威脅例外狀況,則套用至此要求的端點。 |
| 請求端點流量日誌 |
字符串 |
與端點請求相關的流量日誌的詳細或參考資料。 |
| RequestMetadataCallerIP |
字符串 |
起始要求之呼叫端的IP位址。 |
| RequestMetadataDestinationAttributes |
字符串 |
目的地服務或資源的元數據屬性。 |
| RequestMetadataRequestAttributesAuth |
字符串 |
驗證相關的要求屬性,例如令牌或驗證層級。 |
| RequestMetadataRequestAttributesReason |
字符串 |
要求的原因,例如政策行動或使用者起始的變更。 |
| RequestMetadataRequestAttributesTime |
日期時間 |
記錄要求屬性時的時間戳。 |
| 請求名稱 |
字符串 |
要求中要存取或修改之資源的名稱或標識碼。 |
| RequestParent |
字符串 |
要求的父資源,指示階層或背景。 |
| 請求類型 |
字符串 |
要求的類型。 |
| RequestUpdateMaskPaths |
字符串 |
要求中要更新的路徑。 |
| ResourceLabelsId |
字符串 |
記錄中涉及的資源唯一標識符。 |
| 資源標籤位置 |
字符串 |
資源的地理或區域位置。 |
| ResourceLabelsMethod |
字符串 |
在資源上執行的方法或作業,通常連結至 API 呼叫或服務方法。 |
| ResourceLabelsProjectId |
字符串 |
與資源相關聯的專案標識碼,通常代表 Google Cloud 專案。 |
| 資源標籤資源容器 |
字符串 |
資源所屬的容器或邏輯群組名稱(例如資料夾、組織)。 |
| ResourceLabelsService |
字符串 |
服務標籤,指出哪個雲端服務。 |
| 資源位置當前位置 |
字符串 |
記錄項目時資源目前的實體或邏輯位置。 |
| 回應名稱 |
字符串 |
回應中傳回之資源的名稱或標識碼。 |
| ResponseNetwork |
字符串 |
與回應相關聯的網路路徑或標識碼。 |
| ResponseSeverity |
字符串 |
回應的嚴重性層級,特別是在處理錯誤或警示時。 |
| ResponseState |
字符串 |
針對偵測到的威脅所採取的回應動作狀態或結果。 |
| 回應威脅例外條款 |
字符串 |
回應期間所套用的任何威脅例外狀況清單,允許特定威脅略過強制執行。 |
| 回應流量日誌 |
布爾 (bool) |
指出是否已針對會話或威脅回應擷取流量記錄。 |
| 回應類型 |
字符串 |
從作業傳回之回應的類型或格式。 |
| 服務名稱 |
字符串 |
與日誌條目或威脅偵測相關聯的雲端服務名稱。 |
| SessionId(會話識別碼) |
字符串 |
套用至每個會話的內部數字識別碼。 |
| 嚴重程度 |
字符串 |
指出日誌條目或事件的嚴重性層級。 |
| 來源IP位址 |
字符串 |
可疑流量的來源IP位址。 |
| SourcePort |
字符串 |
流量的來源連接埠。 |
| SourceSystem |
字符串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| 開始時間 |
日期時間 |
會話開始的時間。 |
| 地位 |
字符串 |
作業或要求的狀態,例如 SUCCESS、FAILURE 或 ERROR。 |
| 租戶識別碼 (TenantId) |
字符串 |
Log Analytics 工作區識別碼 |
| 威脅識別碼 (ThreatId) |
字符串 |
唯一威脅標識碼。 |
| TimeGenerated |
日期時間 |
記錄系統產生和擷取記錄項目時的時間戳。 |
| 時間戳 |
日期時間 |
來源系統所記錄之事件的原始時間戳。 |
| 總字節數 |
字符串 |
會話中傳輸的位元組總數。 |
| TotalPackets |
字符串 |
會話中傳輸的封包總數。 |
| 類型 |
字符串 |
資料表的名稱 |
| URIOrFilename |
字符串 |
如果適用,則為相關威脅的 URI 或檔名。 |