Watchlist
Список отслеживания Azure Sentinel содержит импортированные данные из CSV-файлов, которые можно использовать для соединения или фильтрации в качестве условия оповещения или инцидента.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | Да |
Столбцы
Столбец | Type | Описание |
---|---|---|
AzureTenantId | строка | Идентификатор клиента AAD, к которому принадлежит эта таблица списка отслеживания. |
_BilledSize | real | Размер записи в байтах |
CorrelationId | строка | Идентификатор для коррелированных событий. |
CreatedBy | Динамический | Объект JSON с пользователем, создавшим список отслеживания или элемент списка отслеживания, включая идентификатор объекта, адрес электронной почты и имя. |
CreatedTimeUTC | DATETIME | Время создания списка отслеживания или элемента списка отслеживания (в формате UTC). |
DefaultDuration | строка | Объект JSON, описывающий продолжительность жизни по умолчанию, которую должен наследовать каждый элемент списка отслеживания при создании. Длительность по умолчанию имеет следующий формат: P(n)Y(n)M(n)DT(n)H(n)M(n)S, где P, Y, M, DT, H, M и S являются инвариантными. Например, P3Y6M4DT12H30M9S представляет длительность в три года, шесть месяцев, четыре дня, двенадцать часов, тридцать минут и девять секунд. |
_DTItemId | строка | Уникальный идентификатор элемента списка отслеживания или списка отслеживания. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. Элемент списка отслеживания имеет уникальный идентификатор и относится к списку отслеживания. Содержащий список отслеживания можно определить с помощью WatchlistId. |
_DTItemStatus | строка | Был ли элемент списка отслеживания или списка отслеживания создан, обновлен или удален пользователем. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. При добавлении списка отслеживания будет отображаться состояние "Создано". Если имя списка отслеживания обновляется с RiskyUsers на RiskyEmployees, состояние будет "Обновлено". |
_DTItemType | строка | Различает список отслеживания и элемент списка отслеживания. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. Тип элемента списка отслеживания будет принадлежать типу списка отслеживания, а содержащий список отслеживания можно определить с помощью WatchlistId. |
_DTTimestamp | DATETIME | Время (UTC) создания события. |
EntityMapping | Динамический | Объект JSON с сопоставлением сущности Azure Sentinel с входными столбцами. |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
LastUpdatedTimeUTC | DATETIME | Время последнего обновления списка отслеживания или элемента списка отслеживания (UTC). |
Примечания | строка | Примечания, предоставленные пользователем. |
Поставщик | строка | Поставщик входных данных списка отслеживания. |
SearchKey | строка | SearchKey используется для оптимизации производительности запросов при использовании списков отслеживания для соединений с другими данными. Например, включите столбец с IP-адресами в качестве назначенного поля SearchKey, а затем используйте это поле для соединения с другими таблицами событий по IP-адресу. |
Source | строка | Источник входных данных списка отслеживания. |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
Теги | строка | Массив JSON тегов, предоставленных пользователем. |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Метка времени (UTC) времени создания события. |
timeToLive | DATETIME | Время жизни для записи списка отслеживания, выраженное в виде даты и времени суток (например, 2020-08-20T17:00:00.9618037Z). Его исходное значение наследуется от длительности по умолчанию списка отслеживания. Если TimeToLive проходит, запись считается удаленной. Длительность записи можно в любой момент продлить, обновив значение TimeToLive. |
Тип | строка | Имя таблицы. |
UpdatedBy | Динамический | Объект JSON с пользователем, который последний раз обновлял элемент списка отслеживания или списка отслеживания, включая идентификатор объекта, адрес электронной почты и имя. |
WatchlistAlias | строка | Уникальная строка, ссылающаяся на список отслеживания. |
WatchlistCategory | строка | Категория списка отслеживания, предоставляемая пользователем. |
WatchlistId | строка | Имя ресурса списка отслеживания Resource Manager. |
WatchlistItem | Динамический | Объект JSON с парами "ключ-значение" из входного источника Списка отслеживания. |
WatchlistItemId | строка | Уникальный идентификатор элемента списка отслеживания. |
WatchlistName | строка | Отображаемое имя списка отслеживания. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по