Watchlist
Azure Sentinel 관심 목록에는 경고/인시던트 조건으로 조인하거나 필터링하는 데 사용할 수 있는 CSV 파일에서 가져온 데이터가 포함되어 있습니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | 예 |
열
열 | 형식 | Description |
---|---|---|
AzureTenantId | string | 이 관심 목록 테이블이 속한 AAD 테넌트 ID입니다. |
_BilledSize | real | 레코드 크기(바이트) |
CorrelationId | 문자열 | 상관 관계가 있는 이벤트의 ID입니다. |
CreatedBy | 동적 | 관심 목록 또는 관심 목록 항목을 만든 사용자가 있는 JSON 개체(예: 개체 ID, 전자 메일 및 이름). |
CreatedTimeUTC | Datetime | 관심 목록 또는 관심 목록 항목을 처음 만든 시간(UTC)입니다. |
DefaultDuration | string | 관심 목록의 각 항목이 생성할 때 상속해야 하는 라이브 기본 기간을 설명하는 JSON 개체입니다. 기본 기간의 형식은 P(n)Y(n)M(n)DT(n)H(n)M(n)S입니다. 여기서 P, Y, M, DT, H, M 및 S는 고정됩니다. 예를 들어 P3Y6M4DT12H30M9S 3년, 6개월, 4일, 12시간, 30분, 9초의 기간을 나타냅니다. |
_DTItemId | 문자열 | 관심 목록 또는 관심 목록 항목 고유 ID입니다. 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록 항목은 고유한 ID를 가지며 관심 목록에 속합니다. 포함된 관심 목록은 'WatchlistId'를 사용하여 식별할 수 있습니다. |
_DTItemStatus | 문자열 | 관심 목록 또는 관심 목록 항목이 사용자에 의해 생성, 업데이트 또는 삭제되었나요? 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록이 추가되면 상태 '생성됨'이 됩니다. 관심 목록의 이름이 'RiskyUsers'에서 'RiskyEmployees'로 업데이트되면 상태 '업데이트됨'이 됩니다. |
_DTItemType | 문자열 | 관심 목록과 관심 목록 항목을 구분합니다. 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록 항목 유형은 관심 목록 유형에 속하며 포함된 관심 목록은 'WatchlistId'를 사용하여 식별할 수 있습니다. |
_DTTimestamp | Datetime | 이벤트가 생성된 시간(UTC)입니다. |
EntityMapping | 동적 | 입력 열에 매핑되는 Azure Sentinel 엔터티가 있는 JSON 개체입니다. |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다. |
LastUpdatedTimeUTC | Datetime | 관심 목록 또는 관심 목록 항목이 마지막으로 업데이트된 시간(UTC)입니다. |
참고 | 문자열 | 사용자가 제공한 노트입니다. |
공급자 | 문자열 | 관심 목록의 입력 공급자입니다. |
SearchKey | 문자열 | SearchKey는 다른 데이터와의 조인에 관심 목록을 사용할 때 쿼리 성능을 최적화하는 데 사용됩니다. 예를 들어 IP 주소가 있는 열을 지정된 SearchKey 필드로 사용하도록 설정한 다음, 이 필드를 사용하여 IP 주소로 다른 이벤트 테이블에 조인합니다. |
Source | 문자열 | 관심 목록의 입력 원본입니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
태그 | string | 사용자가 제공하는 태그의 JSON 배열입니다. |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
TimeGenerated | Datetime | 이벤트가 생성된 시점의 타임스탬프(UTC)입니다. |
timeToLive | Datetime | 날짜 및 시간(예: 2020-08-20T17:00:00.9618037Z)으로 표현된 관심 목록 레코드의 라이브 시간입니다. 원래 값은 관심 목록의 기본 기간에서 상속됩니다. TimeToLive가 통과하면 레코드가 삭제된 것으로 간주됩니다. TimeToLive 값을 업데이트하여 언제든지 레코드의 기간을 연장할 수 있습니다. |
Type | 문자열 | 테이블의 이름입니다. |
UpdatedBy | 동적 | 관심 목록 또는 관심 목록 항목을 마지막으로 업데이트한 사용자가 있는 JSON 개체입니다(개체 ID, 전자 메일 및 이름). |
WatchlistAlias | 문자열 | 관심 목록을 참조하는 고유 문자열입니다. |
WatchlistCategory | 문자열 | 사용자가 제공하는 관심 목록 범주입니다. |
WatchlistId | string | Resource Manager 관심 목록 리소스 이름입니다. |
WatchlistItem | 동적 | 입력 관심 목록 원본의 키-값 쌍이 있는 JSON 개체입니다. |
WatchlistItemId | string | 관심 목록 항목 고유 ID입니다. |
WatchlistName | 문자열 | 관심 목록의 표시 이름입니다. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기