AlertEvidence
Inclui ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AccountDomain | string | Domínio da conta. |
| AccountName | string | Nome de utilizador da conta. |
| AccountObjectId | string | Identificador exclusivo da conta no Azure Active Directory. |
| AccountSid | string | Identificador de Segurança (SID) da conta. |
| AccountUpn | string | Nome principal de utilizador (UPN) da conta. |
| Campos Adicionais | dynamic | Informações adicionais sobre o evento no formato de matriz JSON. |
| AlertId | string | Identificador exclusivo do alerta. |
| Aplicação | string | Aplicação que executou a ação gravada. |
| ApplicationID | int | Identificador exclusivo da aplicação. |
| AttackTechniques | string | MITRE ATT&técnicas CK associadas à atividade que acionou o alerta. |
| _BilledSize | real | O tamanho do registo em bytes |
| Categorias | string | Lista de categorias às quais as informações pertencem, no formato de matriz JSON. |
| DetectionSource | string | Tecnologia de deteção ou sensor que identificou o componente ou atividade notável. |
| DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
| DeviceName | string | Nome de domínio completamente qualificado (FQDN) do computador. |
| EmailSubject | string | Assunto do e-mail. |
| EntityType | string | Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador. |
| EvidenceDirection | string | Indica se a entidade é a origem ou o destino de uma ligação de rede. |
| EvidenceRole | string | Como a entidade está envolvida num alerta, indicando se é afetada ou se está apenas relacionada. |
| NomedoFicheiro | string | Nome do ficheiro ao qual a ação gravada foi aplicada. |
| FileSize | long | Tamanho do ficheiro em bytes. |
| FolderPath | string | Pasta que contém o ficheiro ao qual a ação gravada foi aplicada. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| LocalIP | string | Endereço IP atribuído ao dispositivo local utilizado durante a comunicação. |
| NetworkMessageId | string | Identificador exclusivo do e-mail, gerado por Office 365. |
| OAuthApplicationId | string | Identificador exclusivo da aplicação OAuth de terceiros. |
| ProcessCommandLine | string | Linha de comandos utilizada para criar o novo processo. |
| RegistryKey | string | Chave de registo à qual a ação gravada foi aplicada. |
| RegistryValueData | string | Dados do valor de registo ao qual a ação registada foi aplicada. |
| RegistryValueName | string | Nome do valor de registo ao qual a ação registada foi aplicada. |
| RemoteIP | string | Endereço IP ao qual estava a ser ligado. |
| RemoteUrl | string | URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado. |
| ServiceSource | string | Produto ou serviço que forneceu as informações de alerta. |
| SHA1 | string | SHA-1 do ficheiro ao qual a ação gravada foi aplicada. |
| SHA256 | string | SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido: utilize a coluna SHA1 quando estiver disponível. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatFamily | string | Família de software maligno em que o ficheiro ou processo suspeito ou malicioso foi classificado em. |
| TimeGenerated | datetime | Data e hora (UTC) em que o registo foi gerado. |
| Título | string | Título do alerta. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários