AlertEvidence
Innehåller filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccountDomain | sträng | Domän för kontot. |
| AccountName | sträng | Användarkontots namn. |
| AccountObjectId | sträng | Unik identifierare för kontot i Azure Active Directory. |
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
| AdditionalFields | dynamisk | Ytterligare information om händelsen i JSON-matrisformat. |
| AlertId | sträng | Unik identifierare för aviseringen. |
| Program | sträng | Program som utförde den inspelade åtgärden. |
| ApplicationId | int | Unik identifierare för programmet. |
| AttackTechniques | sträng | MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste aviseringen. |
| _BilledSize | real | Poststorleken i byte |
| Kategorier | sträng | Lista över kategorier som informationen tillhör, i JSON-matrisformat. |
| DetectionSource | sträng | Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten. |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| DeviceName | sträng | Fullständigt kvalificerat domännamn (FQDN) för datorn. |
| EmailSubject | sträng | Ämne för e-postmeddelandet. |
| EntityType | sträng | Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
| EvidenceDirection | sträng | Anger om entiteten är källan eller målet för en nätverksanslutning. |
| EvidenceRole | sträng | Hur entiteten är inblandad i en avisering som anger om den påverkas eller bara är relaterad. |
| Filnamn | sträng | Namnet på filen som den inspelade åtgärden tillämpades på. |
| Filstorlek | long | Filens storlek i byte. |
| FolderPath | sträng | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| LocalIP | sträng | IP-adress tilldelad till den lokala enhet som används under kommunikationen. |
| NetworkMessageId | sträng | Unik identifierare för e-postmeddelandet som genereras av Office 365. |
| OAuthApplicationId | sträng | Unik identifierare för OAuth-programmet från tredje part. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| RegistryKey | sträng | Registernyckel som den registrerade åtgärden tillämpades på. |
| RegistryValueData | sträng | Data för registervärdet som den registrerade åtgärden tillämpades på. |
| RegistryValueName | sträng | Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
| RemoteIP | sträng | IP-adress som var ansluten till. |
| RemoteUrl | sträng | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
| ServiceSource | sträng | Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
| SHA1 | sträng | SHA-1 i filen som den inspelade åtgärden tillämpades på. |
| SHA256 | sträng | SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd SHA1-kolumnen när det är tillgängligt. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatFamily | sträng | Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
| TimeGenerated | datetime | Datum och tid (UTC) när posten genererades. |
| Rubrik | sträng | Aviseringens rubrik. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för