ThreatIntelligenceIndicator
威脅情報指標
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | - |
資料行
資料行 | 類型 | 描述 |
---|---|---|
動作 | 字串 | 要對指標比對採取的動作。 |
使用中 | bool | 指出指標是否為使用中。 |
ActivityGroupNames | 字串 | 與指標相關聯的活動群組。 |
AdditionalInformation | 字串 | 指標的免費文字其他資訊。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
ConfidenceScore | real | 指標的信賴評等,從 0 到 100。 |
Description | 字串 | 指標的描述。 |
DiamondModel | 字串 | 指標的菱形模型值,其中一個敵人、功能、基礎結構或犧牲者。 |
DomainName | 字串 | 可觀察的功能變數名稱。 |
EmailEncoding | 字串 | 可觀察的電子郵件編碼方式。 |
EmailLanguage | 字串 | 可觀察的電子郵件語言。 |
EmailRecipient | 字串 | 可觀察的電子郵件收件者。 |
EmailSenderAddress | 字串 | 可觀察的電子郵件位址。 |
EmailSenderName | 字串 | 可觀察的電子郵件寄件者名稱。 |
EmailSourceDomain | 字串 | 可觀察的電子郵件來源網域。 |
EmailSourceIpAddress | 字串 | 可觀察的電子郵件來源IP位址。 |
EmailSubject | 字串 | 可觀察的電子郵件主旨。 |
EmailXMailer | 字串 | 電子郵件 X-Mailer 可觀察。 |
ExpirationDateTime | datetime | 指標到期時間。 |
ExternalIndicatorId | 字串 | 提交系統的指標標識碼。 |
FileCompileDateTime | datetime | 可觀察的檔案編譯時間。 |
FileCreatedDateTime | datetime | 可觀察的檔案建立時間。 |
FileHashType | 字串 | 可觀察的檔案哈希類型。 |
FileHashValue | 字串 | 可觀察的檔案哈希值。 |
FileMutexName | 字串 | 可觀察的檔案 mutex 名稱。 |
FileName | 字串 | 可觀察的檔名。 |
FilePacker | 字串 | 可觀察的檔案套件工具。 |
FilePath | 字串 | 可觀察的檔案路徑。 |
FileSize | int | 可觀察的檔案大小。 |
FileType | 字串 | 可觀察的文件類型。 |
IndicatorId | 字串 | 由接收系統計算之指標的唯一標識碼。 |
IndicatorProvider | 字串 | 提供指標的實體名稱。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
KillChainActions | bool | 指出是否已設定終止鏈結值 『actions』。 |
KillChainC2 | bool | 指出是否已設定終止鏈結值 『C2』。 |
KillChainDelivery | bool | 指出是否已設定終止鏈結值 『delivery』。 |
KillChainExploitation | bool | 指出是否已設定終止鏈結值『惡意探索』。 |
KillChainReconnaissance | bool | 指出是否已設定終止鏈結值 『reconniassance』。 |
KillChainWeaponization | bool | 指出是否已設定終止鏈結值「串行化」。 |
KnownFalsePositives | 字串 | 描述指標可能造成誤判情況的文字。 |
MalwareNames | 字串 | 與指標相關聯的惡意代碼名稱清單 |
NetworkCidrBlock | 字串 | 網路 CIDR 區塊可觀察。 |
NetworkDestinationAsn | int | 網路目的地自發系統編號可觀察。 |
NetworkDestinationCidrBlock | 字串 | 網路目的地 CIDR 區塊可觀察。 |
NetworkDestinationIP | 字串 | 網路目的地IP位址。 |
NetworkDestinationPort | int | 網路目的地埠可觀察。 |
NetworkIP | 字串 | 可觀察的網路IP位址。 |
NetworkPort | int | 可觀察的網路埠。 |
NetworkProtocol | int | 網路協議可觀察。 |
NetworkSourceAsn | int | 網路來源自發系統編號可觀察。 |
NetworkSourceCidrBlock | 字串 | 網路來源 CIDR 區塊可觀察。 |
NetworkSourceIP | 字串 | 可觀察的網路來源IP位址。 |
NetworkSourcePort | int | 網路來源埠可觀察。 |
PassiveOnly | bool | 指出指標是否應該觸發用戶可見的事件。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
標籤 | 字串 | 自由格式標籤。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatSeverity | int | 指標嚴重性評等從 0 到 5。 較高的值表示更高的嚴重性。 |
ThreatType | 字串 | 威脅類型指標。 |
TimeGenerated | Datetime | 指標擷取的時間。 |
TrafficLightProtocolLevel | 字串 | 業界標準交通燈通訊協定層級,其中一個是白色、綠色、amber 或紅色。 |
類型 | 字串 | 資料表的名稱 |
Url | 字串 | 可觀察的URL。 |
UserAgent | 字串 | 使用者代理程式可觀察。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應