AlertEvidence
Innehåller filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AccountDomain | sträng | Domän för kontot. |
AccountName | sträng | Användarkontots namn. |
AccountObjectId | sträng | Unik identifierare för kontot i Azure Active Directory. |
AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
AdditionalFields | dynamisk | Ytterligare information om händelsen i JSON-matrisformat. |
AlertId | sträng | Unik identifierare för aviseringen. |
Program | sträng | Program som utförde den inspelade åtgärden. |
ApplicationId | int | Unik identifierare för programmet. |
AttackTechniques | sträng | MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste aviseringen. |
_BilledSize | real | Poststorleken i byte |
Kategorier | sträng | Lista över kategorier som informationen tillhör, i JSON-matrisformat. |
DetectionSource | sträng | Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten. |
DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
DeviceName | sträng | Fullständigt kvalificerat domännamn (FQDN) för datorn. |
EmailSubject | sträng | Ämne för e-postmeddelandet. |
EntityType | sträng | Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
EvidenceDirection | sträng | Anger om entiteten är källan eller målet för en nätverksanslutning. |
EvidenceRole | sträng | Hur entiteten är inblandad i en avisering som anger om den påverkas eller bara är relaterad. |
Filnamn | sträng | Namnet på filen som den inspelade åtgärden tillämpades på. |
Filstorlek | long | Filens storlek i byte. |
FolderPath | sträng | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
LocalIP | sträng | IP-adress tilldelad till den lokala enhet som används under kommunikationen. |
NetworkMessageId | sträng | Unik identifierare för e-postmeddelandet som genereras av Office 365. |
OAuthApplicationId | sträng | Unik identifierare för OAuth-programmet från tredje part. |
ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
RegistryKey | sträng | Registernyckel som den registrerade åtgärden tillämpades på. |
RegistryValueData | sträng | Data för registervärdet som den registrerade åtgärden tillämpades på. |
RegistryValueName | sträng | Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
RemoteIP | sträng | IP-adress som var ansluten till. |
RemoteUrl | sträng | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
ServiceSource | sträng | Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
SHA1 | sträng | SHA-1 i filen som den inspelade åtgärden tillämpades på. |
SHA256 | sträng | SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd SHA1-kolumnen när det är tillgängligt. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatFamily | sträng | Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
TimeGenerated | datetime | Datum och tid (UTC) när posten genererades. |
Rubrik | sträng | Aviseringens rubrik. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för