ConfidentialWatchlist
A Lista de Observação confidencial do Azure Sentinel contém dados importados de ficheiros CSV que podem ser utilizados para associar ou filtrar como uma condição de alerta/incidente.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação em tempo de ingestão | No |
Consultas de Exemplo | Sim |
Colunas
Coluna | Tipo | Description |
---|---|---|
AzureTenantId | string | O ID de inquilino do AAD ao qual esta tabela de Lista de Observação pertence. |
_BilledSize | real | O tamanho do registo em bytes |
CorrelationId | string | O ID para eventos correlacionados. |
CreatedBy | dynamic | O objeto JSON com o utilizador que criou o item Lista de Observação ou Lista de Observação, incluindo: ID do Objeto, e-mail e nome. |
CreatedTimeUTC | datetime | A hora (UTC) em que o item Lista de Observação ou Lista de Observação foi criado pela primeira vez. |
DefaultDuration | string | O objeto JSON que descreve a duração predefinida para viver que cada item de uma Lista de Observação deve herdar na criação. A duração predefinida tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, em que P, Y, M, DT, H, M e S são invariáveis. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos. |
_DTItemId | string | O ID exclusivo do item lista de observação ou lista de observação. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Um item da Lista de Observação tem um ID exclusivo e pertence a uma Lista de Observação. A lista de observação que contém pode ser identificada com o "WatchlistId". |
_DTItemStatus | string | O item Lista de Observação ou Lista de Observação foi criado, atualizado ou eliminado pelo utilizador. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Se for adicionada uma Lista de Observação, o estado será "Criado". Se o nome da Lista de Observação for atualizado de "RiskyUsers" para "RiskyEmployees", o estado será "Atualizado". |
_DTItemType | string | Distinguir entre uma Lista de Observação e um item de Lista de Observação. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Um tipo de item de Lista de Observação pertencerá a um tipo de Lista de Observação e a lista de observação que contém pode ser identificada com o "WatchlistId". |
_DTTimestamp | datetime | A hora (UTC) em que o evento foi gerado. |
EntityMapping | dynamic | O objeto JSON com o mapeamento de entidades do Azure Sentinel para colunas de entrada. |
_IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
LastUpdatedTimeUTC | datetime | A hora (UTC) em que o item Lista de Observação ou Lista de Observação foi atualizado pela última vez. |
Notas | string | As notas fornecidas pelo utilizador. |
Fornecedor | string | O fornecedor de entrada da Lista de Observação. |
SearchKey | string | A SearchKey é utilizada para otimizar o desempenho de consultas ao utilizar listas de observação para associações com outros dados. Por exemplo, ative uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, utilize este campo para se associar a outras tabelas de eventos por endereço IP. |
Origem | string | A origem de entrada da Lista de Observação. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
Etiquetas | string | A matriz JSON de etiquetas fornecidas pelo utilizador. |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | O carimbo de data/hora (UTC) de quando o evento foi gerado. |
TimeToLive | datetime | O tempo de vida de um registo da Lista de Observação, expresso como uma data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). O valor original é herdado da duração predefinida da Lista de Observação. Se o TimeToLive passar, o registo é considerado eliminado. A duração de um registo pode ser prolongada em qualquer altura ao atualizar o valor TimeToLive. |
Tipo | string | O nome da tabela |
UpdatedBy | dynamic | O objeto JSON com o utilizador que atualizou pela última vez o item Lista de Observação ou Lista de Observação, incluindo: ID do Objeto, e-mail e nome. |
WatchlistAlias | string | A cadeia exclusiva que se refere à Lista de Observação. |
WatchlistCategory | string | A categoria Lista de Observação fornecida pelo utilizador. |
WatchlistId | string | O Resource Manager nome de recurso da Lista de Observação. |
WatchlistItem | dynamic | O objeto JSON com pares chave-valor da origem da Lista de Observação de entrada. |
WatchlistItemId | string | O ID exclusivo do item da Lista de Observação. |
WatchlistName | string | O nome a apresentar da Lista de Observação. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários