ThreatIntelligenceIndicator
Индикатор аналитики угроз
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
Действие | строка | Действие для выполнения сопоставления индикатора. |
Активен | bool | Указывает, активен ли индикатор. |
ActivityGroupNames | строка | Группы действий, связанные с индикатором. |
AdditionalInformation | строка | Дополнительные сведения о индикаторе в произвольном тексте. |
_BilledSize | real | Размер записи в байтах |
ConfidenceScore | real | Рейтинг достоверности индикатора от 0 до 100. |
Описание | строка | Описание индикатора. |
DiamondModel | строка | Значение алмазной модели для индикатора, одного из злоумышленников, возможностей, инфраструктуры или жертвы. |
DomainName | строка | Отслеживаемое доменное имя. |
EmailEncoding | строка | Отслеживаемое кодирование электронной почты. |
EmailLanguage | строка | Отслеживаемый язык электронной почты. |
EmailRecipient | строка | Отслеживаемый получатель электронной почты. |
EmailSenderAddress | строка | Отслеживаемый адрес отправителя электронной почты. |
EmailSenderName | строка | Отслеживаемое имя отправителя электронной почты. |
EmailSourceDomain | строка | Отслеживаемый домен источника электронной почты. |
EmailSourceIpAddress | строка | Отслеживаемый IP-адрес источника электронной почты. |
EmailSubject | строка | Отслеживаемая тема сообщения электронной почты. |
EmailXMailer | строка | Отслеживаемый адрес электронной почты X-Mailer. |
ExpirationDateTime | DATETIME | Время истечения срока действия индикатора. |
ExternalIndicatorId | строка | Идентификатор индикатора из системы отправки. |
FileCompileDateTime | DATETIME | Наблюдаемое время компиляции файла. |
FileCreatedDateTime | DATETIME | Наблюдаемое время создания файла. |
FileHashType | строка | Наблюдаемый тип хэша файла. |
FileHashValue | строка | Наблюдаемое хэш-значение файла. |
FileMutexName | строка | Наблюдаемое имя мьютекса файла. |
FileName | строка | Имя файла, отслеживаемое. |
FilePacker | строка | Отслеживаемый упаковщик файлов. |
FilePath | строка | Наблюдаемый путь к файлу. |
FileSize | INT | Наблюдаемый размер файла. |
FileType | строка | Наблюдаемый тип файла. |
IndicatorId | строка | Уникальный идентификатор индикатора, вычисленного принимающей системой. |
IndicatorProvider | строка | Имя сущности, которая предоставила индикатор. |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
KillChainActions | bool | Указывает, задано ли значение "actions" цепочки завершения. |
KillChainC2 | bool | Указывает, задано ли значение цепочки завершения "C2". |
KillChainDelivery | bool | Указывает, задана ли стоимость цепочки завершения "доставка". |
KillChainExploitation | bool | Указывает, задано ли значение "эксплуатация" цепочки завершения. |
KillChainReconnaissance | bool | Указывает, задано ли значение цепочки завершения "reconniassance". |
KillChainWeaponization | bool | Указывает, задана ли «вепонизация» стоимости цепочки завершения. |
KnownFalsePositives | строка | Текст, описывающий ситуации, когда индикатор может привести к ложным срабатываниям. |
Имена вредоносных программ | строка | Список имен вредоносных программ, связанных с индикатором |
NetworkCidrBlock | строка | Наблюдаемый блок CIDR сети. |
NetworkDestinationAsn | INT | Наблюдаемый номер автономной системы назначения сети. |
NetworkDestinationCidrBlock | строка | Наблюдаемый блок CIDR назначения сети. |
NetworkDestinationIP | строка | IP-адрес назначения сети. |
NetworkDestinationPort | INT | Отслеживаемый сетевой порт назначения. |
NetworkIP | строка | Наблюдаемый IP-адрес сети. |
NetworkPort | INT | Наблюдаемый сетевой порт. |
NetworkProtocol | INT | Наблюдаемый сетевой протокол. |
NetworkSourceAsn | INT | Наблюдаемый номер автономной системы источника сети. |
NetworkSourceCidrBlock | строка | Наблюдаемый блок CIDR источника сети. |
NetworkSourceIP | строка | Отслеживаемый IP-адрес источника сети. |
NetworkSourcePort | INT | Отслеживаемый сетевой исходный порт. |
PassiveOnly | bool | Указывает, должен ли индикатор активировать событие, видимое пользователю. |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
Теги | строка | Теги свободной формы. |
TenantId | строка | Идентификатор рабочей области Log Analytics |
ThreatSeverity | INT | Оценка серьезности индикатора от 0 до 5. Более высокое значение указывает на большую серьезность. |
ThreatType | строка | Тип угрозы индикатора. |
TimeGenerated | DATETIME | Время приема индикатора. |
TrafficLightProtocolLevel | строка | Стандартный отраслевой уровень протокола светофора: белый, зеленый, желтый или красный. |
Тип | строка | Имя таблицы. |
Url | строка | Отслеживаемый URL-адрес. |
UserAgent | строка | Наблюдаемый агент пользователя. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по