ThreatIntelligenceIndicator
Индикатор аналитики угроз
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| Действие | строка | Действие для выполнения сопоставления индикатора. |
| Активен | bool | Указывает, активен ли индикатор. |
| ActivityGroupNames | строка | Группы действий, связанные с индикатором. |
| AdditionalInformation | строка | Дополнительные сведения о индикаторе в произвольном тексте. |
| _BilledSize | real | Размер записи в байтах |
| ConfidenceScore | real | Рейтинг достоверности индикатора от 0 до 100. |
| Описание | строка | Описание индикатора. |
| DiamondModel | строка | Значение алмазной модели для индикатора, одного из злоумышленников, возможностей, инфраструктуры или жертвы. |
| DomainName | строка | Отслеживаемое доменное имя. |
| EmailEncoding | строка | Отслеживаемое кодирование электронной почты. |
| EmailLanguage | строка | Отслеживаемый язык электронной почты. |
| EmailRecipient | строка | Отслеживаемый получатель электронной почты. |
| EmailSenderAddress | строка | Отслеживаемый адрес отправителя электронной почты. |
| EmailSenderName | строка | Отслеживаемое имя отправителя электронной почты. |
| EmailSourceDomain | строка | Отслеживаемый домен источника электронной почты. |
| EmailSourceIpAddress | строка | Отслеживаемый IP-адрес источника электронной почты. |
| EmailSubject | строка | Отслеживаемая тема сообщения электронной почты. |
| EmailXMailer | строка | Отслеживаемый адрес электронной почты X-Mailer. |
| ExpirationDateTime | DATETIME | Время истечения срока действия индикатора. |
| ExternalIndicatorId | строка | Идентификатор индикатора из системы отправки. |
| FileCompileDateTime | DATETIME | Наблюдаемое время компиляции файла. |
| FileCreatedDateTime | DATETIME | Наблюдаемое время создания файла. |
| FileHashType | строка | Наблюдаемый тип хэша файла. |
| FileHashValue | строка | Наблюдаемое хэш-значение файла. |
| FileMutexName | строка | Наблюдаемое имя мьютекса файла. |
| FileName | строка | Имя файла, отслеживаемое. |
| FilePacker | строка | Отслеживаемый упаковщик файлов. |
| FilePath | строка | Наблюдаемый путь к файлу. |
| FileSize | INT | Наблюдаемый размер файла. |
| FileType | строка | Наблюдаемый тип файла. |
| IndicatorId | строка | Уникальный идентификатор индикатора, вычисленного принимающей системой. |
| IndicatorProvider | строка | Имя сущности, которая предоставила индикатор. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| KillChainActions | bool | Указывает, задано ли значение "actions" цепочки завершения. |
| KillChainC2 | bool | Указывает, задано ли значение цепочки завершения "C2". |
| KillChainDelivery | bool | Указывает, задана ли стоимость цепочки завершения "доставка". |
| KillChainExploitation | bool | Указывает, задано ли значение "эксплуатация" цепочки завершения. |
| KillChainReconnaissance | bool | Указывает, задано ли значение цепочки завершения "reconniassance". |
| KillChainWeaponization | bool | Указывает, задана ли «вепонизация» стоимости цепочки завершения. |
| KnownFalsePositives | строка | Текст, описывающий ситуации, когда индикатор может привести к ложным срабатываниям. |
| Имена вредоносных программ | строка | Список имен вредоносных программ, связанных с индикатором |
| NetworkCidrBlock | строка | Наблюдаемый блок CIDR сети. |
| NetworkDestinationAsn | INT | Наблюдаемый номер автономной системы назначения сети. |
| NetworkDestinationCidrBlock | строка | Наблюдаемый блок CIDR назначения сети. |
| NetworkDestinationIP | строка | IP-адрес назначения сети. |
| NetworkDestinationPort | INT | Отслеживаемый сетевой порт назначения. |
| NetworkIP | строка | Наблюдаемый IP-адрес сети. |
| NetworkPort | INT | Наблюдаемый сетевой порт. |
| NetworkProtocol | INT | Наблюдаемый сетевой протокол. |
| NetworkSourceAsn | INT | Наблюдаемый номер автономной системы источника сети. |
| NetworkSourceCidrBlock | строка | Наблюдаемый блок CIDR источника сети. |
| NetworkSourceIP | строка | Отслеживаемый IP-адрес источника сети. |
| NetworkSourcePort | INT | Отслеживаемый сетевой исходный порт. |
| PassiveOnly | bool | Указывает, должен ли индикатор активировать событие, видимое пользователю. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Теги | строка | Теги свободной формы. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatSeverity | INT | Оценка серьезности индикатора от 0 до 5. Более высокое значение указывает на большую серьезность. |
| ThreatType | строка | Тип угрозы индикатора. |
| TimeGenerated | DATETIME | Время приема индикатора. |
| TrafficLightProtocolLevel | строка | Стандартный отраслевой уровень протокола светофора: белый, зеленый, желтый или красный. |
| Тип | строка | Имя таблицы. |
| Url | строка | Отслеживаемый URL-адрес. |
| UserAgent | строка | Наблюдаемый агент пользователя. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по