AlertEvidence
Tartalmazza a riasztásokhoz társított fájlokat, IP-címeket, URL-címeket, felhasználókat vagy eszközöket.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AccountDomain | sztring | A fiók tartománya. |
| AccountName | sztring | A fiók felhasználóneve. |
| AccountObjectId | sztring | A fiók egyedi azonosítója az Azure Active Directoryban. |
| AccountSid | sztring | A fiók biztonsági azonosítója (SID). |
| AccountUpn | sztring | A fiók egyszerű felhasználóneve (UPN). |
| További mezők | dinamikus | További információ az eseményről JSON-tömbformátumban. |
| Riasztásazonosító | sztring | A riasztás egyedi azonosítója. |
| Alkalmazás | sztring | A rögzített műveletet végrehajtó alkalmazás. |
| ApplicationId | int | Az alkalmazás egyedi azonosítója. |
| AttackTechniques | sztring | A MITRE ATT&a riasztást kiváltó tevékenységhez társított CK-technikákat. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| Kategóriák | sztring | Az információkhoz tartozó kategóriák listája JSON-tömbformátumban. |
| DetectionSource | sztring | Észlelési technológia vagy érzékelő, amely azonosította a jelentős összetevőt vagy tevékenységet. |
| DeviceId | sztring | A szolgáltatásban lévő eszköz egyedi azonosítója. |
| DeviceName | sztring | A gép teljes tartományneve (FQDN). |
| EmailSubject | sztring | Az e-mail tárgya. |
| EntityType | sztring | Objektum típusa, például fájl, folyamat, eszköz vagy felhasználó. |
| EvidenceDirection | sztring | Azt jelzi, hogy az entitás egy hálózati kapcsolat forrása vagy célja-e. |
| EvidenceRole | sztring | Hogyan vesz részt az entitás egy riasztásban, jelezve, hogy az érintett vagy csak kapcsolódó. |
| Fájlnév | sztring | Annak a fájlnak a neve, amelyekre a rögzített műveletet alkalmazták. |
| Fájlméretet | hosszú | A fájl mérete bájtban. |
| FolderPath | sztring | A rögzített műveletet alkalmazó fájlt tartalmazó mappa. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| LocalIP | sztring | A kommunikáció során használt helyi eszközhöz rendelt IP-cím. |
| NetworkMessageId | sztring | A Office 365 által létrehozott e-mail egyedi azonosítója. |
| OAuthApplicationId | sztring | A külső OAuth-alkalmazás egyedi azonosítója. |
| ProcessCommandLine | sztring | Az új folyamat létrehozásához használt parancssor. |
| Beállításkulcs | sztring | Beállításkulcs, amellyel a rögzített műveletet alkalmazták. |
| RegistryValueData | sztring | Annak a beállításjegyzék-értéknek az adatai, amelyekre a rögzített műveletet alkalmazták. |
| RegistryValueName | sztring | Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták. |
| RemoteIP | sztring | A csatlakoztatott IP-cím. |
| RemoteUrl | sztring | A csatlakoztatott URL-cím vagy teljes tartománynév (FQDN). |
| ServiceSource | sztring | A riasztási adatokat szolgáltató termék vagy szolgáltatás. |
| SHA1 | sztring | A rögzített művelet által alkalmazott fájl SHA-1-jének száma. |
| SHA256 | sztring | SHA-256 azon fájlból, amelyre a rögzített műveletet alkalmazták. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| ThreatFamily | sztring | Olyan kártevőcsalád, amelybe a gyanús vagy rosszindulatú fájl vagy folyamat besorolva lett. |
| TimeGenerated | dátum/idő | A rekord létrehozásának dátuma és időpontja (UTC). |
| Cím | sztring | A riasztás címe. |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: