ConfidentialWatchlist
Azure Sentinel konfidentiell visningslista innehåller importerade data från CSV-filer som kan användas för att ansluta eller filtrera som ett aviserings-/incidentvillkor.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | No |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AzureTenantId | sträng | Det AAD-klientorganisations-ID som den här watchlist-tabellen tillhör. |
| _BilledSize | real | Poststorleken i byte |
| CorrelationId | sträng | ID:t för korrelerade händelser. |
| CreatedBy | dynamisk | JSON-objektet med användaren som skapade objektet Watchlist eller Watchlist, inklusive: Objekt-ID, e-post och namn. |
| CreatedTimeUTC | datetime | Tiden (UTC) när objektet Watchlist eller Watchlist först skapades. |
| DefaultDuration | sträng | JSON-objektet som beskriver standardvaraktigheten att leva som varje objekt i en visningslista ska ärva när det skapas. Standardvaraktigheten har det här formatet : P(n)Y(n)M(n)DT(n)H(n)M(n)S, där P, Y, M, DT, H, M och S är invarianta. Till exempel representerar P3Y6M4DT12H30M9S en varaktighet på tre år, sex månader, fyra dagar, tolv timmar, trettio minuter och nio sekunder. |
| _DTItemId | sträng | Unikt ID för visningslista eller visningslista. Till exempel kan en visningslista "RiskyUsers" innehålla watchlist-objektet "Name:John Doe; e-post:johndoe@contoso.com'. Ett visningslistobjekt har unikt ID och tillhör en visningslista. Den innehållande watchlisten kan identifieras med hjälp av "WatchlistId". |
| _DTItemStatus | sträng | Har objektet Watchlist eller Watchlist skapats, uppdaterats eller tagits bort av användaren. Till exempel kan en visningslista "RiskyUsers" innehålla watchlist-objektet "Name:John Doe; e-post:johndoe@contoso.com'. Om en visningslista läggs till blir statusen "Skapad". Om namnet på visningslistan uppdateras från RiskyUsers till RiskyEmployees blir statusen Uppdaterad. |
| _DTItemType | sträng | Skilja mellan en visningslista och ett visningslisteobjekt. Till exempel kan en visningslista "RiskyUsers" innehålla watchlist-objektet "Name:John Doe; e-post:johndoe@contoso.com'. En typ av visningslista tillhör en typ av visningslista och den innehållande visningslistan kan identifieras med hjälp av "WatchlistId". |
| _DTTimestamp | datetime | Tiden (UTC) när händelsen genererades. |
| EntityMapping | dynamisk | JSON-objektet med Azure Sentinel-entitetsmappning till indatakolumner. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| LastUpdatedTimeUTC | datetime | Tiden (UTC) när objektet Watchlist eller Watchlist senast uppdaterades. |
| Kommentarer | sträng | Anteckningarna som tillhandahålls av användaren. |
| Leverantör | sträng | Indataprovidern för visningslistan. |
| SearchKey | sträng | SearchKey används för att optimera frågeprestanda när du använder visningslistor för kopplingar till andra data. Aktivera till exempel en kolumn med IP-adresser som det avsedda Fältet SearchKey och använd sedan det här fältet för att ansluta till andra händelsetabeller efter IP-adress. |
| Källa | sträng | Indatakällan för visningslistan. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Taggar | sträng | JSON-matrisen med taggar som tillhandahålls av användaren. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tidsstämpeln (UTC) för när händelsen genererades. |
| TimeToLive | datetime | Tiden att leva för en Watchlist-post uttryckt som datum och tid på dagen (t.ex. 2020-08-20T17:00:00.9618037Z). Dess ursprungliga värde ärvs från Watchlists standardvaraktighet. Om TimeToLive godkänns betraktas posten som borttagen. En posts varaktighet kan förlängas när som helst genom att uppdatera TimeToLive-värdet. |
| Typ | sträng | Namnet på tabellen |
| UpdatedBy | dynamisk | JSON-objektet med användaren som senast uppdaterade objektet Watchlist eller Watchlist, inklusive: Objekt-ID, e-post och namn. |
| WatchlistAlias | sträng | Den unika strängen som refererar till visningslistan. |
| WatchlistCategory | sträng | Kategorin Visningslista som tillhandahålls av användaren. |
| WatchlistId | sträng | Resursnamnet Resource Manager Visningslista. |
| WatchlistItem | dynamisk | JSON-objektet med nyckel/värde-par från den inmatade Watchlist-källan. |
| WatchlistItemId | sträng | Det unika ID:t för visningslistan. |
| WatchlistName | sträng | Visningsnamnet för Visningslista. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för