威脅情報指標
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄 | 不 |
| 擷取時間轉換 | Yes |
| 範例查詢 | - |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| 動作 | 字串 | 要對指標比對採取的動作。 |
| 作用中 | bool | 顯示指標是否啟用。 |
| ActivityGroupNames | 字串 | 與指標相關聯的活動群組。 |
| 附加資訊 | 字串 | 指標的任意文字附加資訊。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| ConfidenceScore | real | 指標的信賴評等,從 0 到 100。 |
| 描述 | 字串 | 指標的描述。 |
| DiamondModel | 字串 | 指標的菱形模型值,敵人、功能、基礎結構或犧牲者之一。 |
| 網域名稱 | 字串 | 可觀察的網域名稱。 |
| 電子郵件編碼 | 字串 | 可觀察的電子郵件編碼方式。 |
| EmailLanguage | 字串 | 可觀察的電子郵件語言。 |
| EmailRecipient | 字串 | 可觀察的電子郵件收件者。 |
| EmailSenderAddress | 字串 | 可觀察的電子郵件傳送者位址。 |
| EmailSenderName | 字串 | 可觀察的電子郵件傳送者名稱。 |
| 郵件來源域名 | 字串 | 可觀察的電子郵件來源網域。 |
| 電子郵件來源IP地址 | 字串 | 可觀察的電子郵件來源IP位址。 |
| EmailSubject | 字串 | 可觀察的電子郵件主旨。 |
| EmailXMailer | 字串 | 可觀察的電子郵件 X-Mailer。 |
| 到期日期時間 | Datetime | 指標到期時間。 |
| ExternalIndicatorId | 字串 | 來自提交系統的指標識別碼。 |
| 檔案編譯日期時間 (FileCompileDateTime) | Datetime | 可觀察的檔案編譯時間。 |
| FileCreatedDateTime | Datetime | 可觀察的檔案建立時間。 |
| FileHashType | 字串 | 可觀察的檔案哈希類型。 |
| FileHashValue | 字串 | 可觀察的檔案哈希值。 |
| FileMutexName | 字串 | 可觀察的檔案 Mutex 名稱。 |
| FileName | 字串 | 可觀察的檔案名稱。 |
| FilePacker | 字串 | 可觀察的檔案 Packer。 |
| FilePath | 字串 | 可觀察的檔案路徑。 |
| FileSize | int | 可觀察的檔案大小。 |
| FileType | 字串 | 可觀察的文件類型。 |
| IndicatorId | 字串 | 由接收系統計算之指標的唯一標識碼。 |
| IndicatorProvider | 字串 | 提供指標之實體的名稱。 |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| KillChainActions | bool | 指出是否已設定攻擊鏈值「動作」。 |
| KillChainC2 | bool | 指出是否已設定殺傷鏈值 "C2"。 |
| KillChainDelivery | 布尔 | 指出是否已設定攻擊鏈值「傳遞」。 |
| KillChainExploitation | 布尔 | 指出是否已設定攻擊鏈值「惡意探索」。 |
| KillChainReconnaissance | bool | 指出是否已設定攻擊鏈值「偵察」。 |
| KillChainWeaponization | bool | 指出是否已設定攻擊鏈值「武器化」。 |
| KnownFalsePositives | 字串 | 描述指標可能造成誤判情況的文字。 |
| 惡意軟體名稱 | 字串 | 與指標相關聯的惡意代碼名稱清單 |
| NetworkCidrBlock | 字串 | 可觀察的網路 CIDR 區塊。 |
| NetworkDestinationAsn | int | 可觀察的網路目的地自發的系統數量。 |
| NetworkDestinationCidrBlock | 字串 | 網路目的地 CIDR 區塊是可被觀察的。 |
| NetworkDestinationIP | 字串 | 網路目的地IP位址。 |
| NetworkDestinationPort | int | 可觀察的網路目的地連接埠。 |
| NetworkIP | 字串 | 可觀察的網路IP位址。 |
| NetworkPort | 整數 (int) | 可觀察的網路埠。 |
| 網路協定 | int | 可觀察的網路通訊協定。 |
| NetworkSourceAsn | int | 可觀察的網路來源自發的系統數量。 |
| NetworkSourceCidrBlock | 字串 | 可觀察的網路來源 CIDR 區塊。 |
| NetworkSourceIP | 字串 | 可觀察的網路來源IP位址。 |
| NetworkSourcePort | int | 可觀察的網路來源埠。 |
| PassiveOnly | bool | 指出指標是否應該觸發用戶可看見的事件。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager,Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| Tags | 字串 | 自由格式標籤。 |
| TenantId | 字串 | Log Analytics 工作區識別碼 |
| ThreatSeverity | int | 指標嚴重性評等從 0 到 5。 較高的值表示更大的嚴重性。 |
| ThreatType | 字串 | 指標的威脅類型。 |
| TimeGenerated | Datetime | 指標擷取的時間。 |
| TrafficLightProtocolLevel | 字串 | 業界標準的交通燈通訊協定層級,其中一個是白色、綠色、琥珀色或紅色。 |
| 類型 | 字串 | 資料表的名稱 |
| Url | 字串 | 可觀察的URL。 |
| UserAgent | 字串 | 可觀察的使用者代理程式。 |