Lista de observação
A Lista de Observação do Azure Sentinel contém dados importados de ficheiros CSV que podem ser utilizados para associar ou filtrar como uma condição de alerta/incidente.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AzureTenantId | string | O ID de inquilino do AAD ao qual esta tabela de Lista de Observação pertence. |
| _BilledSize | real | O tamanho do registo em bytes |
| CorrelationId | string | O ID para eventos correlacionados. |
| CreatedBy | dynamic | O objeto JSON com o utilizador que criou o item Lista de Observação ou Lista de Observação, incluindo: ID do Objeto, e-mail e nome. |
| CreatedTimeUTC | datetime | A hora (UTC) em que o item Lista de Observação ou Lista de Observação foi criado pela primeira vez. |
| DefaultDuration | string | O objeto JSON que descreve a duração predefinida para viver que cada item de uma Lista de Observação deve herdar na criação. A duração predefinida tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, em que P, Y, M, DT, H, M e S são invariáveis. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos. |
| _DTItemId | string | O ID exclusivo do item lista de observação ou lista de observação. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Um item da Lista de Observação tem um ID exclusivo e pertence a uma Lista de Observação. A lista de observação que contém pode ser identificada com o "WatchlistId". |
| _DTItemStatus | string | O item Lista de Observação ou Lista de Observação foi criado, atualizado ou eliminado pelo utilizador. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Se for adicionada uma Lista de Observação, o estado será "Criado". Se o nome da Lista de Observação for atualizado de "RiskyUsers" para "RiskyEmployees", o estado será "Atualizado". |
| _DTItemType | string | Distinguir entre uma Lista de Observação e um item de Lista de Observação. Por exemplo, uma Lista de Observação "RiskyUsers" pode conter o item da Lista de Observação "Name:John Doe; e-mail:johndoe@contoso.com'. Um tipo de item de Lista de Observação pertencerá a um tipo de Lista de Observação e a lista de observação que contém pode ser identificada com o "WatchlistId". |
| _DTTimestamp | datetime | A hora (UTC) em que o evento foi gerado. |
| EntityMapping | dynamic | O objeto JSON com o mapeamento de entidades do Azure Sentinel para colunas de entrada. |
| _IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| LastUpdatedTimeUTC | datetime | A hora (UTC) em que o item Lista de Observação ou Lista de Observação foi atualizado pela última vez. |
| Notas | string | As notas fornecidas pelo utilizador. |
| Fornecedor | string | O fornecedor de entrada da Lista de Observação. |
| SearchKey | string | A SearchKey é utilizada para otimizar o desempenho de consultas ao utilizar listas de observação para associações com outros dados. Por exemplo, ative uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, utilize este campo para se associar a outras tabelas de eventos por endereço IP. |
| Origem | string | A origem de entrada da Lista de Observação. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| Etiquetas | string | A matriz JSON de etiquetas fornecidas pelo utilizador. |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) de quando o evento foi gerado. |
| TimeToLive | datetime | O tempo de vida de um registo da Lista de Observação, expresso como uma data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). O valor original é herdado da duração predefinida da Lista de Observação. Se o TimeToLive passar, o registo é considerado eliminado. A duração de um registo pode ser prolongada em qualquer altura ao atualizar o valor TimeToLive. |
| Tipo | string | O nome da tabela |
| UpdatedBy | dynamic | O objeto JSON com o utilizador que atualizou pela última vez o item Lista de Observação ou Lista de Observação, incluindo: ID do Objeto, e-mail e nome. |
| WatchlistAlias | string | A cadeia exclusiva que se refere à Lista de Observação. |
| WatchlistCategory | string | A categoria Lista de Observação fornecida pelo utilizador. |
| WatchlistId | string | O Resource Manager nome de recurso da Lista de Observação. |
| WatchlistItem | dynamic | O objeto JSON com pares chave-valor da origem da Lista de Observação de entrada. |
| WatchlistItemId | string | O ID exclusivo do item da Lista de Observação. |
| WatchlistName | string | O nome a apresentar da Lista de Observação. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários