Watchlist
Azure Sentinel 관심 목록에는 경고/인시던트 조건으로 조인하거나 필터링하는 데 사용할 수 있는 CSV 파일에서 가져온 데이터가 포함되어 있습니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | - |
| 범주 | 보안 |
| 솔루션 | SecurityInsights |
| 기본 로그 | No |
| 수집 시간 변환 | Yes |
| 샘플 쿼리 | 예 |
열
| 열 | 형식 | Description |
|---|---|---|
| AzureTenantId | string | 이 관심 목록 테이블이 속한 AAD 테넌트 ID입니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| CorrelationId | 문자열 | 상관 관계가 있는 이벤트의 ID입니다. |
| CreatedBy | 동적 | 관심 목록 또는 관심 목록 항목을 만든 사용자가 있는 JSON 개체(예: 개체 ID, 전자 메일 및 이름). |
| CreatedTimeUTC | Datetime | 관심 목록 또는 관심 목록 항목을 처음 만든 시간(UTC)입니다. |
| DefaultDuration | string | 관심 목록의 각 항목이 생성할 때 상속해야 하는 라이브 기본 기간을 설명하는 JSON 개체입니다. 기본 기간의 형식은 P(n)Y(n)M(n)DT(n)H(n)M(n)S입니다. 여기서 P, Y, M, DT, H, M 및 S는 고정됩니다. 예를 들어 P3Y6M4DT12H30M9S 3년, 6개월, 4일, 12시간, 30분, 9초의 기간을 나타냅니다. |
| _DTItemId | 문자열 | 관심 목록 또는 관심 목록 항목 고유 ID입니다. 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록 항목은 고유한 ID를 가지며 관심 목록에 속합니다. 포함된 관심 목록은 'WatchlistId'를 사용하여 식별할 수 있습니다. |
| _DTItemStatus | 문자열 | 관심 목록 또는 관심 목록 항목이 사용자에 의해 생성, 업데이트 또는 삭제되었나요? 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록이 추가되면 상태 '생성됨'이 됩니다. 관심 목록의 이름이 'RiskyUsers'에서 'RiskyEmployees'로 업데이트되면 상태 '업데이트됨'이 됩니다. |
| _DTItemType | 문자열 | 관심 목록과 관심 목록 항목을 구분합니다. 예를 들어 관심 목록 'RiskyUsers'에는 관심 목록 항목 'Name:John Doe; email:johndoe@contoso.com'. 관심 목록 항목 유형은 관심 목록 유형에 속하며 포함된 관심 목록은 'WatchlistId'를 사용하여 식별할 수 있습니다. |
| _DTTimestamp | Datetime | 이벤트가 생성된 시간(UTC)입니다. |
| EntityMapping | 동적 | 입력 열에 매핑되는 Azure Sentinel 엔터티가 있는 JSON 개체입니다. |
| _IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다. |
| LastUpdatedTimeUTC | Datetime | 관심 목록 또는 관심 목록 항목이 마지막으로 업데이트된 시간(UTC)입니다. |
| 참고 | 문자열 | 사용자가 제공한 노트입니다. |
| 공급자 | 문자열 | 관심 목록의 입력 공급자입니다. |
| SearchKey | 문자열 | SearchKey는 다른 데이터와의 조인에 관심 목록을 사용할 때 쿼리 성능을 최적화하는 데 사용됩니다. 예를 들어 IP 주소가 있는 열을 지정된 SearchKey 필드로 사용하도록 설정한 다음, 이 필드를 사용하여 IP 주소로 다른 이벤트 테이블에 조인합니다. |
| Source | 문자열 | 관심 목록의 입력 원본입니다. |
| SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
| 태그 | string | 사용자가 제공하는 태그의 JSON 배열입니다. |
| TenantId | 문자열 | Log Analytics 작업 영역 ID |
| TimeGenerated | Datetime | 이벤트가 생성된 시점의 타임스탬프(UTC)입니다. |
| timeToLive | Datetime | 날짜 및 시간(예: 2020-08-20T17:00:00.9618037Z)으로 표현된 관심 목록 레코드의 라이브 시간입니다. 원래 값은 관심 목록의 기본 기간에서 상속됩니다. TimeToLive가 통과하면 레코드가 삭제된 것으로 간주됩니다. TimeToLive 값을 업데이트하여 언제든지 레코드의 기간을 연장할 수 있습니다. |
| Type | 문자열 | 테이블의 이름입니다. |
| UpdatedBy | 동적 | 관심 목록 또는 관심 목록 항목을 마지막으로 업데이트한 사용자가 있는 JSON 개체입니다(개체 ID, 전자 메일 및 이름). |
| WatchlistAlias | 문자열 | 관심 목록을 참조하는 고유 문자열입니다. |
| WatchlistCategory | 문자열 | 사용자가 제공하는 관심 목록 범주입니다. |
| WatchlistId | string | Resource Manager 관심 목록 리소스 이름입니다. |
| WatchlistItem | 동적 | 입력 관심 목록 원본의 키-값 쌍이 있는 JSON 개체입니다. |
| WatchlistItemId | string | 관심 목록 항목 고유 ID입니다. |
| WatchlistName | 문자열 | 관심 목록의 표시 이름입니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기