下表是身分識別和網路存取的一部分,其中包含網路存取警示。 您可以利用這些警示來了解網路存取的狀態。
數據表屬性
| 屬性 |
值 |
|
資源類型 |
- |
|
類別 |
安全性、網路、IT 和管理工具 |
|
方案 |
日誌管理 |
|
基本記錄 |
是的 |
|
擷取時間轉換 |
不 |
|
範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| 警報類型 |
字串 |
警示的類型名稱。 相同類型的警示應該具有相同的名稱。 此欄位是代表警示類型而非警示實例的索引鍵字串。 來自相同偵測邏輯/分析的所有警示實例都應該具有相同的警示類型值。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| 組件名稱 |
字串 |
產生警示之產品內的元件名稱。 這是一個選填欄位,通常只有在外部使用者知道某些產品內部元件的情況下才會填入。 對於提供不同類型的 SKU/套件群組的產品,此欄位可以保存 SKU 或套件組合名稱。 |
| 創建日期時間 |
日期時間 |
產生事件的日期和時間(UTC)。 |
| 描述 |
字串 |
從來源傳送到連線或會話目的地的位元元組數目。 |
| 檢測技術 |
字串 |
可選欄位用於存放警報威脅偵測技術。 |
| 顯示名稱 |
字串 |
警示的顯示名稱,此值會原樣或包含其他參數顯示給用戶。 |
| 擴展屬性 |
動態 |
系統將向使用者顯示的一組欄位。 提供者可以在這裡傳送任何應屬於警示一部分的自定義欄位。 |
| 第一次活動日期時間 |
日期時間 |
警示的影響開始時間(警示中包含的第一個事件或活動的時間)。 欄位會根據ISO8601串行化字串,包括 UTC 時區資訊。 |
| 身份識別碼 |
字串 |
每個網路存取警示的唯一標識碼。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,系統不會向您的 Azure 帳戶收取擷取費用 |
| IsPreview |
布林值 |
IsPreview 會定義為 true,其中警示處於公開預覽狀態,但尚未符合 GA 資格。 根據預設,值為 false。 |
| 最後活動日期時間 (LastActivityDateTime) |
日期時間 |
警示的影響結束時間(警示中包含的最後一個事件或活動的時間)。 欄位會根據ISO8601串行化字串,包括 UTC 時區資訊。 |
| PolicyId(政策識別碼) |
字串 |
與產生警示之網路存取流量相關聯的政策 ID。 |
| ProductName |
字串 |
發佈此警示的產品名稱,例如 Azure 資訊安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。 |
| 相關資源 |
動態 |
與警示相關的實體清單。 此清單可以保存各種類型實體的混合。 實體類型可以是 [實體] 區段中定義的任何類型。 不在下列清單中的實體也可以傳送,但不能保證這些實體會被處理(生產警示不會因新的實體類型而失敗)。 |
| 嚴重性 |
字串 |
提供者回報警示的嚴重性。 可能的值:資訊性、低、中、高。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,Windows 代理程式使用OpsManager,可以直接連接或使用 Operations Manager;所有 Linux 代理程式使用Linux;Azure 診斷使用Azure。 |
| SubTechniques |
字串 |
選填欄位,用於指定警示背後與攻擊鏈相關的子技術。 每個子技術都應該使用標識碼在此清單中新增,而且它應該在 [意圖] 欄位中至少有一個相符的意圖。 |
| 方法 |
字串 |
選擇性欄位,指定警示背後的攻擊鏈相關技術。 每個技術都應該使用標識碼在此清單中新增,而且應該在 [意圖] 字段中至少有一個相符的意圖。 此欄位的生成(技術標識符的預期格式和與意圖值的比對)遵循 MITRE att@ck企業矩陣模型(在新視窗或分頁中開啟),在 MITRE 的檔案中可以找到有關構成每個意圖的不同技術的進一步指導。 |
| 租戶識別碼 |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
產生事件的日期和時間(UTC)。 |
| 類型 |
字串 |
資料表的名稱 |
| 供應商名稱 |
字串 |
引發警示的廠商名稱,此值會顯示給使用者。 針對大部分的內部安全性產品警示,應該將它設定為 「Microsoft」。 |