Seznam ke zhlédnutí
Seznam ke zhlédnutí služby Azure Sentinel obsahuje importovaná data ze souborů CSV, která se dají použít k připojení nebo filtrování jako podmínka výstrahy nebo incidentu.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AzureTenantId | řetězec | ID tenanta AAD, ke kterému patří tato tabulka Sledovaný seznam. |
| _BilledSize | real | Velikost záznamu v bajtech |
| CorrelationId | řetězec | ID korelovaných událostí. |
| Vytvořeno Podle | dynamic | Objekt JSON s uživatelem, který vytvořil položku ke zhlédnutí nebo ke zhlédnutí, včetně ID objektu, e-mailu a jména. |
| CreatedTimeUTC | datetime | Čas (UTC) prvního vytvoření položky ke zhlédnutí nebo ke zhlédnutí. |
| Výchozí doba trvání | řetězec | Objekt JSON popisující výchozí dobu trvání, kterou by měla zdědit každá položka seznamu ke zhlédnutí při vytvoření. Výchozí doba trvání má tento formát: P(n)Y(n)M(n)DT(n)H(n)M(n)S, kde P, Y, M, DT, H, M a S jsou invariantní. Například P3Y6M4DT12H30M9S představuje dobu trvání tří let, šesti měsíců, čtyř dnů, dvanácti hodin, třicet minut a devíti sekund. |
| _DTItemId | řetězec | Jedinečné ID položky seznamu ke zhlédnutí nebo položky seznamu ke zhlédnutí Jako příklad může seznam ke zhlédnutí 'RiskyUsers' obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com'. Položka seznamu ke zhlédnutí má jedinečné ID a patří do seznamu ke zhlédnutí. Obsahující seznam ke zhlédnutí je možné identifikovat pomocí id sledovaného seznamu. |
| _DTItemStatus | řetězec | Byla položka ke zhlédnutí nebo ke zhlédnutí vytvořená, aktualizovaná nebo odstraněná uživatelem. Jako příklad může seznam ke zhlédnutí 'RiskyUsers' obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com'. Pokud přidáte seznam ke zhlédnutí, bude mít stav Vytvořeno. Pokud se název seznamu ke zhlédnutí aktualizuje z "RiskyUsers" na "RiskyEmployees", bude stav "Aktualizováno". |
| _DTItemType | řetězec | Rozlišovat mezi seznamem ke zhlédnutím a položkou zhlédnutí. Jako příklad může seznam ke zhlédnutí 'RiskyUsers' obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com'. Typ položky ke zhlédnutí bude patřit do typu ke zhlédnutí a obsahující seznam ke zhlédnutí může být identifikován pomocí id sledovaného seznamu. |
| _DTTimestamp | datetime | Čas (UTC), kdy byla událost vygenerována. |
| EntityMapping | dynamic | Objekt JSON s mapováním entity Azure Sentinelu na vstupní sloupce |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| LastUpdatedTimeUTC | datetime | Čas (UTC), kdy byla naposledy aktualizována položka seznamu ke zhlédnutí. |
| Poznámky | řetězec | Poznámky poskytnuté uživatelem |
| Poskytovatel | řetězec | Zprostředkovatel vstupu seznamu ke zhlédnutí. |
| SearchKey | řetězec | SearchKey slouží k optimalizaci výkonu dotazů při použití zhlédnutí pro spojení s jinými daty. Například povolte sloupec s IP adresami, který má být určeným polem SearchKey, a pak toto pole použijte ke spojení dalších tabulek událostí podle IP adresy. |
| Source | řetězec | Vstupní zdroj seznamu ke zhlédnutí. |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| Značky | řetězec | Pole značek JSON poskytnuté uživatelem |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Časové razítko (UTC) doby, kdy byla událost vygenerována. |
| TimeToLive | datetime | Doba života záznamu seznamu ke zhlédnutí vyjádřená jako datum a čas dne (např. 2020-08-20T17:00:00.9618037Z). Jeho původní hodnota je zděděna z výchozí doby trvání seznamu sledovaných. Pokud timeToLive projde, záznam se považuje za odstraněný. Doba trvání záznamu se dá kdykoli prodloužit aktualizací hodnoty TimeToLive. |
| Typ | řetězec | Název tabulky |
| Aktualizováno | dynamic | Objekt JSON s uživatelem, který naposledy aktualizoval položku zhlédnutého seznamu nebo seznamu ke zhlédnutí, včetně ID objektu, e-mailu a jména. |
| WatchlistAlias | řetězec | Jedinečný řetězec odkazující na seznam ke zhlédnutí. |
| WatchlistCategory | řetězec | Kategorie zhlédnutí poskytovaná uživatelem |
| Id seznamu ke zhlédnutí | řetězec | Název prostředku Resource Manager ke zhlédnutí. |
| WatchlistItem | dynamic | Objekt JSON s páry klíč-hodnota ze zdroje vstupního seznamu ke zhlédnutí. |
| WatchlistItemId | řetězec | Jedinečné ID položky seznamu ke zhlédnutí |
| Název seznamu ke zhlédnutí | řetězec | Zobrazovaný název seznamu ke zhlédnutí. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro