Listához
Az Azure Sentinel Watchlist csv-fájlokból importált adatokat tartalmaz, amelyek riasztási/incidensi feltételként való összekapcsolására vagy szűrésére használhatók.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AzureTenantId | sztring | Az AAD-bérlő azonosítója, amelyhez ez a Figyelőlista tábla tartozik. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| CorrelationId | sztring | A korrelált események azonosítója. |
| CreatedBy | dinamikus | A JSON-objektum a Figyelőlista vagy a Figyelőlista elemet létrehozó felhasználóval, beleértve a következőket: Objektumazonosító, e-mail és név. |
| CreatedTimeUTC | dátum/idő | A Figyelőlista vagy a Figyelőlista elem első létrehozásának időpontja (UTC). |
| DefaultDuration | sztring | Az alapértelmezett élettartamot leíró JSON-objektum, amelyet a figyelőlista minden elemének örökölnie kell a létrehozáskor. Az alapértelmezett időtartam formátuma a következő: P(n)Y(n)M(n)DT(n)H(n)M(n)S, ahol a P, Y, M, DT, H, M és S invariáns. A P3Y6M4DT12H30M9S például három év, hat hónap, négy nap, tizenkét óra, harminc perc és kilenc másodperc időtartamot jelöl. |
| _DTItemId | sztring | A Figyelőlista vagy a Figyelőlista elem egyedi azonosítója. Például a "RiskyUsers" figyelőlista tartalmazhat "Name:John Doe; e-mail:johndoe@contoso.com'. A Figyelőlista elem egyedi azonosítóval rendelkezik, és egy figyelőlistához tartozik. A figyelőlista a "WatchlistId" használatával azonosítható. |
| _DTItemStatus | sztring | A Figyelőlista vagy a Figyelőlista elemet a felhasználó hozta létre, frissítette vagy törölte. Például a "RiskyUsers" figyelőlista tartalmazhat "Name:John Doe; e-mail:johndoe@contoso.com'. Ha hozzáad egy figyelőlistát, az állapot "Létrehozva" lesz. Ha a figyelőlista neve a "RiskyUsers" értékről a "RiskyEmployees" értékre frissül, az állapot "Frissítve" lesz. |
| _DTItemType | sztring | Figyelőlista és Figyelőlista elem megkülönböztetése. Például a "RiskyUsers" figyelőlista tartalmazhat "Name:John Doe; e-mail:johndoe@contoso.com'. A Figyelőlista elemtípus egy figyelőlista-típushoz tartozik, és a figyelőlistát tartalmazó lista a "WatchlistId" használatával azonosítható. |
| _DTTimestamp | dátum/idő | Az esemény létrehozásának időpontja (UTC). |
| EntityMapping | dinamikus | Az Azure Sentinel-entitás bemeneti oszlopokhoz való leképezésével rendelkező JSON-objektum. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| LastUpdatedTimeUTC | dátum/idő | A Figyelőlista vagy a Figyelőlista elem legutóbbi frissítésének időpontja (UTC). |
| Jegyzetek | sztring | A felhasználó által megadott jegyzetek. |
| Szolgáltató | sztring | A figyelőlista bemeneti szolgáltatója. |
| SearchKey | sztring | A SearchKey a lekérdezési teljesítmény optimalizálására szolgál, ha figyelőlistákat használ más adatokkal való illesztésekhez. Engedélyezze például, hogy egy IP-címmel rendelkező oszlop legyen a kijelölt SearchKey mező, majd ezzel a mezővel csatlakozzon más eseménytáblákhoz IP-cím alapján. |
| Forrás | sztring | A figyelőlista bemeneti forrása. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| Címkék | sztring | A felhasználó által megadott címkék JSON-tömbje. |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | Az esemény létrehozásának időbélyege (UTC). |
| TimeToLive | dátum/idő | A Figyelőlista rekord élettartamának ideje, dátumként és időpontként kifejezve (pl. 2020-08-20T17:00:00.9618037Z). Az eredeti érték a Figyelőlista alapértelmezett időtartamától öröklődik. Ha a TimeToLive sikeres, a rendszer töröltnek tekinti a rekordot. A rekordok időtartama bármikor meghosszabbítható a TimeToLive érték frissítésével. |
| Típus | sztring | A tábla neve |
| Frissítve | dinamikus | A JSON-objektum a Figyelőlista vagy a Figyelőlista elemet legutóbb módosító felhasználóval, beleértve a következőket: Objektumazonosító, e-mail-cím és név. |
| WatchlistAlias | sztring | A figyelőlistára hivatkozó egyedi sztring. |
| WatchlistCategory | sztring | A felhasználó által biztosított Figyelőlista kategória. |
| WatchlistId | sztring | A Resource Manager figyelőlista erőforrásának neve. |
| WatchlistItem | dinamikus | A JSON-objektum kulcs-érték párokkal a bemeneti figyelőlista forrásából. |
| WatchlistItemId | sztring | A Figyelőlista elem egyedi azonosítója. |
| WatchlistName | sztring | A Figyelőlista megjelenítendő neve. |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: