AlertEvidence
Inclui ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação do tempo de ingestão | Yes |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
AccountDomain | string | Domínio da conta. |
AccountName | string | Nome de utilizador da conta. |
AccountObjectId | string | Identificador exclusivo da conta no Azure Active Directory. |
AccountSid | string | Identificador de Segurança (SID) da conta. |
AccountUpn | string | Nome principal de utilizador (UPN) da conta. |
Campos Adicionais | dynamic | Informações adicionais sobre o evento no formato de matriz JSON. |
AlertId | string | Identificador exclusivo do alerta. |
Aplicação | string | Aplicação que executou a ação gravada. |
ApplicationID | int | Identificador exclusivo da aplicação. |
AttackTechniques | string | MITRE ATT&técnicas CK associadas à atividade que acionou o alerta. |
_BilledSize | real | O tamanho do registo em bytes |
Categorias | string | Lista de categorias às quais as informações pertencem, no formato de matriz JSON. |
DetectionSource | string | Tecnologia de deteção ou sensor que identificou o componente ou atividade notável. |
DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
DeviceName | string | Nome de domínio completamente qualificado (FQDN) do computador. |
EmailSubject | string | Assunto do e-mail. |
EntityType | string | Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador. |
EvidenceDirection | string | Indica se a entidade é a origem ou o destino de uma ligação de rede. |
EvidenceRole | string | Como a entidade está envolvida num alerta, indicando se é afetada ou se está apenas relacionada. |
NomedoFicheiro | string | Nome do ficheiro ao qual a ação gravada foi aplicada. |
FileSize | long | Tamanho do ficheiro em bytes. |
FolderPath | string | Pasta que contém o ficheiro ao qual a ação gravada foi aplicada. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
LocalIP | string | Endereço IP atribuído ao dispositivo local utilizado durante a comunicação. |
NetworkMessageId | string | Identificador exclusivo do e-mail, gerado por Office 365. |
OAuthApplicationId | string | Identificador exclusivo da aplicação OAuth de terceiros. |
ProcessCommandLine | string | Linha de comandos utilizada para criar o novo processo. |
RegistryKey | string | Chave de registo à qual a ação gravada foi aplicada. |
RegistryValueData | string | Dados do valor de registo ao qual a ação registada foi aplicada. |
RegistryValueName | string | Nome do valor de registo ao qual a ação registada foi aplicada. |
RemoteIP | string | Endereço IP ao qual estava a ser ligado. |
RemoteUrl | string | URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado. |
ServiceSource | string | Produto ou serviço que forneceu as informações de alerta. |
SHA1 | string | SHA-1 do ficheiro ao qual a ação gravada foi aplicada. |
SHA256 | string | SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido: utilize a coluna SHA1 quando estiver disponível. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
TenantId | string | O ID da área de trabalho do Log Analytics |
ThreatFamily | string | Família de software maligno em que o ficheiro ou processo suspeito ou malicioso foi classificado em. |
TimeGenerated | datetime | Data e hora (UTC) em que o registo foi gerado. |
Título | string | Título do alerta. |
Tipo | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários