ThreatIntelligenceIndicator
威脅情報指標
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄檔 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | - |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| 動作 | 字串 | 要對指標比對採取的動作。 |
| 使用中 | bool | 指出指標是否為使用中。 |
| ActivityGroupNames | 字串 | 與指標相關聯的活動群組。 |
| AdditionalInformation | 字串 | 指標的免費文字其他資訊。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| ConfidenceScore | real | 指標的信賴評等,從 0 到 100。 |
| Description | 字串 | 指標的描述。 |
| DiamondModel | 字串 | 指標的菱形模型值,其中一個敵人、功能、基礎結構或犧牲者。 |
| DomainName | 字串 | 可觀察的功能變數名稱。 |
| EmailEncoding | 字串 | 可觀察的電子郵件編碼方式。 |
| EmailLanguage | 字串 | 可觀察的電子郵件語言。 |
| EmailRecipient | 字串 | 可觀察的電子郵件收件者。 |
| EmailSenderAddress | 字串 | 可觀察的電子郵件位址。 |
| EmailSenderName | 字串 | 可觀察的電子郵件寄件者名稱。 |
| EmailSourceDomain | 字串 | 可觀察的電子郵件來源網域。 |
| EmailSourceIpAddress | 字串 | 可觀察的電子郵件來源IP位址。 |
| EmailSubject | 字串 | 可觀察的電子郵件主旨。 |
| EmailXMailer | 字串 | 電子郵件 X-Mailer 可觀察。 |
| ExpirationDateTime | datetime | 指標到期時間。 |
| ExternalIndicatorId | 字串 | 提交系統的指標標識碼。 |
| FileCompileDateTime | datetime | 可觀察的檔案編譯時間。 |
| FileCreatedDateTime | datetime | 可觀察的檔案建立時間。 |
| FileHashType | 字串 | 可觀察的檔案哈希類型。 |
| FileHashValue | 字串 | 可觀察的檔案哈希值。 |
| FileMutexName | 字串 | 可觀察的檔案 mutex 名稱。 |
| FileName | 字串 | 可觀察的檔名。 |
| FilePacker | 字串 | 可觀察的檔案套件工具。 |
| FilePath | 字串 | 可觀察的檔案路徑。 |
| FileSize | int | 可觀察的檔案大小。 |
| FileType | 字串 | 可觀察的文件類型。 |
| IndicatorId | 字串 | 由接收系統計算之指標的唯一標識碼。 |
| IndicatorProvider | 字串 | 提供指標的實體名稱。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| KillChainActions | bool | 指出是否已設定終止鏈結值 『actions』。 |
| KillChainC2 | bool | 指出是否已設定終止鏈結值 『C2』。 |
| KillChainDelivery | bool | 指出是否已設定終止鏈結值 『delivery』。 |
| KillChainExploitation | bool | 指出是否已設定終止鏈結值『惡意探索』。 |
| KillChainReconnaissance | bool | 指出是否已設定終止鏈結值 『reconniassance』。 |
| KillChainWeaponization | bool | 指出是否已設定終止鏈結值「串行化」。 |
| KnownFalsePositives | 字串 | 描述指標可能造成誤判情況的文字。 |
| MalwareNames | 字串 | 與指標相關聯的惡意代碼名稱清單 |
| NetworkCidrBlock | 字串 | 網路 CIDR 區塊可觀察。 |
| NetworkDestinationAsn | int | 網路目的地自發系統編號可觀察。 |
| NetworkDestinationCidrBlock | 字串 | 網路目的地 CIDR 區塊可觀察。 |
| NetworkDestinationIP | 字串 | 網路目的地IP位址。 |
| NetworkDestinationPort | int | 網路目的地埠可觀察。 |
| NetworkIP | 字串 | 可觀察的網路IP位址。 |
| NetworkPort | int | 可觀察的網路埠。 |
| NetworkProtocol | int | 網路協議可觀察。 |
| NetworkSourceAsn | int | 網路來源自發系統編號可觀察。 |
| NetworkSourceCidrBlock | 字串 | 網路來源 CIDR 區塊可觀察。 |
| NetworkSourceIP | 字串 | 可觀察的網路來源IP位址。 |
| NetworkSourcePort | int | 網路來源埠可觀察。 |
| PassiveOnly | bool | 指出指標是否應該觸發用戶可見的事件。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| 標籤 | 字串 | 自由格式標籤。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| ThreatSeverity | int | 指標嚴重性評等從 0 到 5。 較高的值表示更高的嚴重性。 |
| ThreatType | 字串 | 威脅類型指標。 |
| TimeGenerated | Datetime | 指標擷取的時間。 |
| TrafficLightProtocolLevel | 字串 | 業界標準交通燈通訊協定層級,其中一個是白色、綠色、amber 或紅色。 |
| 類型 | 字串 | 資料表的名稱 |
| Url | 字串 | 可觀察的URL。 |
| UserAgent | 字串 | 使用者代理程式可觀察。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應