Watchlist
Список отслеживания Azure Sentinel содержит импортированные данные из CSV-файлов, которые можно использовать для соединения или фильтрации в качестве условия оповещения или инцидента.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AzureTenantId | строка | Идентификатор клиента AAD, к которому принадлежит эта таблица списка отслеживания. |
| _BilledSize | real | Размер записи в байтах |
| CorrelationId | строка | Идентификатор для коррелированных событий. |
| CreatedBy | Динамический | Объект JSON с пользователем, создавшим список отслеживания или элемент списка отслеживания, включая идентификатор объекта, адрес электронной почты и имя. |
| CreatedTimeUTC | DATETIME | Время создания списка отслеживания или элемента списка отслеживания (в формате UTC). |
| DefaultDuration | строка | Объект JSON, описывающий продолжительность жизни по умолчанию, которую должен наследовать каждый элемент списка отслеживания при создании. Длительность по умолчанию имеет следующий формат: P(n)Y(n)M(n)DT(n)H(n)M(n)S, где P, Y, M, DT, H, M и S являются инвариантными. Например, P3Y6M4DT12H30M9S представляет длительность в три года, шесть месяцев, четыре дня, двенадцать часов, тридцать минут и девять секунд. |
| _DTItemId | строка | Уникальный идентификатор элемента списка отслеживания или списка отслеживания. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. Элемент списка отслеживания имеет уникальный идентификатор и относится к списку отслеживания. Содержащий список отслеживания можно определить с помощью WatchlistId. |
| _DTItemStatus | строка | Был ли элемент списка отслеживания или списка отслеживания создан, обновлен или удален пользователем. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. При добавлении списка отслеживания будет отображаться состояние "Создано". Если имя списка отслеживания обновляется с RiskyUsers на RiskyEmployees, состояние будет "Обновлено". |
| _DTItemType | строка | Различает список отслеживания и элемент списка отслеживания. Например, список отслеживания "RiskyUsers" может содержать элемент списка отслеживания "Name:John Doe; email:johndoe@contoso.com'. Тип элемента списка отслеживания будет принадлежать типу списка отслеживания, а содержащий список отслеживания можно определить с помощью WatchlistId. |
| _DTTimestamp | DATETIME | Время (UTC) создания события. |
| EntityMapping | Динамический | Объект JSON с сопоставлением сущности Azure Sentinel с входными столбцами. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LastUpdatedTimeUTC | DATETIME | Время последнего обновления списка отслеживания или элемента списка отслеживания (UTC). |
| Примечания | строка | Примечания, предоставленные пользователем. |
| Поставщик | строка | Поставщик входных данных списка отслеживания. |
| SearchKey | строка | SearchKey используется для оптимизации производительности запросов при использовании списков отслеживания для соединений с другими данными. Например, включите столбец с IP-адресами в качестве назначенного поля SearchKey, а затем используйте это поле для соединения с другими таблицами событий по IP-адресу. |
| Source | строка | Источник входных данных списка отслеживания. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Теги | строка | Массив JSON тегов, предоставленных пользователем. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Метка времени (UTC) времени создания события. |
| timeToLive | DATETIME | Время жизни для записи списка отслеживания, выраженное в виде даты и времени суток (например, 2020-08-20T17:00:00.9618037Z). Его исходное значение наследуется от длительности по умолчанию списка отслеживания. Если TimeToLive проходит, запись считается удаленной. Длительность записи можно в любой момент продлить, обновив значение TimeToLive. |
| Тип | строка | Имя таблицы. |
| UpdatedBy | Динамический | Объект JSON с пользователем, который последний раз обновлял элемент списка отслеживания или списка отслеживания, включая идентификатор объекта, адрес электронной почты и имя. |
| WatchlistAlias | строка | Уникальная строка, ссылающаяся на список отслеживания. |
| WatchlistCategory | строка | Категория списка отслеживания, предоставляемая пользователем. |
| WatchlistId | строка | Имя ресурса списка отслеживания Resource Manager. |
| WatchlistItem | Динамический | Объект JSON с парами "ключ-значение" из входного источника Списка отслеживания. |
| WatchlistItemId | строка | Уникальный идентификатор элемента списка отслеживания. |
| WatchlistName | строка | Отображаемое имя списка отслеживания. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по