Поделиться через

Аномалии

  • Статья

Эта таблица содержит аномалии, созданные активными правилами аналитики аномалий в Azure Sentinel.

Атрибуты таблицы

attribute Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал Нет
Преобразование во время приема Да
Примеры запросов Да

Столбцы

Столбец Type Описание
ActivityInsights Динамический Аналитические сведения об активностях, соответствующих созданной аномалии в виде JSON.
AnomalyDetails Динамический Объект JSON, содержащий общие сведения о правиле и алгоритме, сгенерировав аномалию, а также объяснения аномалии.
AnomalyReasons Динамический Подробное описание созданной аномалии в виде JSON.
AnomalyTemplateId строка Идентификатор шаблона Аномалия, создающего эту аномалию.
AnomalyTemplateName строка Имя шаблона аномалии, создающего эту аномалию.
AnomalyTemplateVersion строка Версия шаблона Аномалия, создающая эту аномалию.
_BilledSize real Размер записи в байтах
Описание строка Описание аномалии.
DestinationDevice строка Целевое устройство, для которого была создана аномалия.
DestinationIpAddress строка IP-адрес назначения, для которого была создана аномалия.
DestinationLocation Динамический Сведения о целевом расположении, для которого аномалия была создана в формате JSON.
DeviceInsights Динамический Аналитические сведения об устройствах, соответствующих созданной аномалии в формате JSON.
EndTime DATETIME Время (UTC) окончания аномалии.
Сущности Динамический Объект JSON, содержащий все сущности, участвующие в созданной аномалии.
ExtendedLinks Динамический Список ссылок, указывающих на данные, создающие аномалию.
ExtendedProperties Динамический Объект JSON с дополнительными данными об аномалии в виде пар "ключ-значение".
Идентификатор строка Идентификатор созданной аномалии.
_IsBillable строка Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure
RuleConfigVersion строка Версия конфигурации правила аналитики аномалий, создающая эту аномалию.
Идентификатор правила строка Идентификатор правила аналитики аномалий, создающего эту аномалию.
RuleName строка Имя правила аналитики аномалий, создающего эту аномалию.
RuleStatus строка Состояние (Flighting/Production) правила аналитики аномалий, создающего эту аномалию.
Оценка real Оценка аномалии.
SourceDevice строка Исходное устройство, для которого была создана аномалия.
SourceIpAddress строка Исходный IP-адрес, для которого была создана аномалия.
SourceLocation Динамический Сведения об исходном расположении, для которого аномалия была создана в формате JSON.
SourceSystem строка Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure
StartTime DATETIME Время (UTC) начала аномалии.
Тактика строка Список тактик MITRE ATT&CK (строк), соответствующих аномалии.
Techniques строка Перечислите методы MITRE ATT&CK (строки), соответствующие аномалии.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated DATETIME Метка времени (UTC) того, когда была создана аномалия.
Тип строка Имя таблицы.
UserInsights Динамический Аналитика о пользователях, соответствующих созданной аномалии в формате JSON.
UserName строка Имя пользователя, для которого была создана аномалия.
UserPrincipalName строка Имя участника-пользователя, для которого была создана аномалия.
VendorName строка Имя поставщика, создающего эту аномалию.
WorkspaceId строка Идентификатор рабочей области Sentinel.