ThreatIntelligenceIndicator
Hotinformationsindikator
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Beskrivning |
---|---|---|
Åtgärd | sträng | Åtgärd att vidta vid indikatormatchning. |
Aktiv | boolesk | Anger om indikatorn är aktiv. |
ActivityGroupNames | sträng | Aktivitetsgrupper som är associerade med indikatorn. |
Ytterligare information | sträng | Ytterligare information om fritext för indikator. |
_BilledSize | real | Poststorleken i byte |
ConfidenceScore | real | Konfidensklassificering för indikatorn, från 0 till 100. |
Description | sträng | Beskrivning av indikatorn. |
DiamondModel | sträng | Diamantmodellvärde för indikatorn, en av angripare, kapacitet, infrastruktur eller offer. |
DomainName | sträng | Domännamnet kan observeras. |
EmailEncoding | sträng | E-postkodningen kan observeras. |
EmailLanguage | sträng | E-postspråket kan observeras. |
EmailRecipient | sträng | E-postmottagaren kan observeras. |
EmailSenderAddress | sträng | E-postadressen kan observeras. |
EmailSenderName | sträng | E-postsändarens namn kan observeras. |
EmailSourceDomain | sträng | E-postkällans domän kan observeras. |
EmailSourceIpAddress | sträng | Ip-adressen för e-postkällan kan observeras. |
EmailSubject | sträng | E-postämnet kan observeras. |
EmailXMailer | sträng | E-post X-Mailer kan observeras. |
ExpirationDateTime | datetime | Förfallotid för indikatorn. |
ExternalIndicatorId | sträng | Identifierare för indikator från att skicka system. |
FileCompileDateTime | datetime | Tiden för filkompilering kan observeras. |
FileCreatedDateTime | datetime | Tiden då filen skapades kunde observeras. |
FileHashType | sträng | Filhashtypen kan observeras. |
FileHashValue | sträng | Filhashvärdet kan observeras. |
FileMutexName | sträng | Filens mutex-namn kan observeras. |
Filnamn | sträng | Filnamnet kan observeras. |
FilePacker | sträng | Filpaketeraren kan observeras. |
Filepath | sträng | Filsökvägen kan observeras. |
Filstorlek | int | Filstorleken kan observeras. |
Filtyp | sträng | Filtypen kan observeras. |
IndicatorId | sträng | Unik identifierare för indikator, beräknad genom att ta emot systemet. |
IndicatorProvider | sträng | Namnet på den entitet som angav indikatorn. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
KillChainActions | boolesk | Anger om värdet "åtgärder" för kill chain har angetts. |
KillChainC2 | boolesk | Anger om värdet "C2" för kill chain har angetts. |
KillChainDelivery | boolesk | Anger om värdet "delivery" (leverans) för kill chain har angetts. |
KillChainExploitation | boolesk | Anger om värdet "utnyttjande" för kill chain har angetts. |
KillChainReconnaissance | boolesk | Anger om kill chain-värdet "reconniassance" har angetts. |
KillChainWeaponization | boolesk | Anger om värdet "weaponization" (vapenisering) har angetts. |
KnownFalsePositives | sträng | Text som beskriver situationer där indikatorn kan orsaka falska positiva identifieringar. |
MalwareNames | sträng | Lista över namn på skadlig kod som är associerade med indikatorn |
NetworkCidrBlock | sträng | Nätverkets CIDR-block kan observeras. |
NetworkDestinationAsn | int | Nätverksmålets autonoma systemnummer kan observeras. |
NetworkDestinationCidrBlock | sträng | Nätverksmålets CIDR-block kan observeras. |
NetworkDestinationIP | sträng | Nätverkets mål-IP-adress. |
NetworkDestinationPort | int | Nätverkets målport kan observeras. |
NetworkIP | sträng | Nätverkets IP-adress kan observeras. |
NetworkPort | int | Nätverksporten kan observeras. |
NetworkProtocol | int | Nätverksprotokollet kan observeras. |
NetworkSourceAsn | int | Nätverkskällans autonoma systemnummer kan observeras. |
NetworkSourceCidrBlock | sträng | Nätverkskällans CIDR-block kan observeras. |
NetworkSourceIP | sträng | Ip-adressen för nätverkskällan kan observeras. |
NetworkSourcePort | int | Nätverkskällans port kan observeras. |
PassiveOnly | boolesk | Anger om indikatorn ska utlösa en händelse som är synlig för en användare. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
Taggar | sträng | Taggar för fritt formulär. |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatSeverity | int | Allvarlighetsgrad för indikator från 0 till 5. Högre värde anger större allvarlighetsgrad. |
ThreatType | sträng | Hottyp för indikator. |
TimeGenerated | datetime | Tid för indikatorinmatning. |
TrafficLightProtocolLevel | sträng | Branschstandard trafikljus protokollnivå, en av vit, grön, bärnsten eller röd. |
Typ | sträng | Namnet på tabellen |
URL | sträng | Url:en kan observeras. |
Useragent | sträng | Användaragenten kan observeras. |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för