AlertEvidence
Включает файлы, IP-адреса, URL-адреса, пользователей или устройства, связанные с оповещениями.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AccountDomain | строка | Домен учетной записи. |
| AccountName | строка | Имя пользователя учетной записи. |
| AccountObjectId | строка | Уникальный идентификатор учетной записи в Azure Active Directory. |
| AccountSid | строка | Идентификатор безопасности (SID) учетной записи. |
| AccountUpn | строка | Имя участника-пользователя (UPN) учетной записи. |
| AdditionalFields | Динамический | Дополнительные сведения о событии в формате массива JSON. |
| AlertId | строка | Уникальный идентификатор оповещения. |
| Приложение | строка | Приложение, которое выполнило записанное действие. |
| ApplicationId | int | Уникальный идентификатор приложения. |
| AttackTechniques | строка | MITRE ATT&методов CK, связанных с действием, которое активировало оповещение. |
| _BilledSize | real | Размер записи в байтах |
| Категории | строка | Список категорий, к которым относится информация, в формате массива JSON. |
| DetectionSource | строка | Технология обнаружения или датчик, которые идентифицировали важный компонент или действие. |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| DeviceName | строка | Полное доменное имя компьютера. |
| EmailSubject | строка | Тема сообщения электронной почты. |
| EntityType | строка | Тип объекта, например файл, процесс, устройство или пользователь. |
| EvidenceDirection | строка | Указывает, является ли сущность источником или местом назначения сетевого подключения. |
| EvidenceRole | строка | Как сущность участвует в оповещении, указывая, влияет ли она или просто связана. |
| FileName | строка | Имя файла, к которому было применено записанное действие. |
| FileSize | long | Размер файла в байтах. |
| FolderPath | строка | Папка, содержащая файл, к которому было применено записанное действие. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LocalIP | строка | IP-адрес, назначенный локальному устройству, используемому во время обмена данными. |
| NetworkMessageId | строка | Уникальный идентификатор сообщения электронной почты, созданного Office 365. |
| OAuthApplicationId | строка | Уникальный идентификатор стороннего приложения OAuth. |
| ProcessCommandLine | строка | Командная строка, используемая для создания нового процесса. |
| RegistryKey | строка | Раздел реестра, к которому было применено записанное действие. |
| RegistryValueData | строка | Данные значения реестра, к которому было применено записанное действие. |
| RegistryValueName | строка | Имя значения реестра, к которому было применено записанное действие. |
| RemoteIP | строка | IP-адрес, к которому было подключено подключение. |
| RemoteUrl | строка | URL-адрес или полное доменное имя ( FQDN), к которому было подключено. |
| ServiceSource | строка | Продукт или служба, которые предоставили сведения об оповещении. |
| SHA1 | строка | SHA-1 файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому было применено записанное действие. Обычно это поле не заполняется— используйте столбец SHA1, если он доступен. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatFamily | строка | Семейство вредоносных программ, в рамках которого классифицируется подозрительный или вредоносный файл или процесс. |
| TimeGenerated | DATETIME | Дата и время (UTC) создания записи. |
| Title | строка | Заголовок оповещения. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по