ThreatIntelligenceIndicator
Hotinformationsindikator
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Åtgärd | sträng | Åtgärd att vidta vid indikatormatchning. |
| Aktiv | boolesk | Anger om indikatorn är aktiv. |
| ActivityGroupNames | sträng | Aktivitetsgrupper som är associerade med indikatorn. |
| Ytterligare information | sträng | Ytterligare information om fritext för indikator. |
| _BilledSize | real | Poststorleken i byte |
| ConfidenceScore | real | Konfidensklassificering för indikatorn, från 0 till 100. |
| Description | sträng | Beskrivning av indikatorn. |
| DiamondModel | sträng | Diamantmodellvärde för indikatorn, en av angripare, kapacitet, infrastruktur eller offer. |
| DomainName | sträng | Domännamnet kan observeras. |
| EmailEncoding | sträng | E-postkodningen kan observeras. |
| EmailLanguage | sträng | E-postspråket kan observeras. |
| EmailRecipient | sträng | E-postmottagaren kan observeras. |
| EmailSenderAddress | sträng | E-postadressen kan observeras. |
| EmailSenderName | sträng | E-postsändarens namn kan observeras. |
| EmailSourceDomain | sträng | E-postkällans domän kan observeras. |
| EmailSourceIpAddress | sträng | Ip-adressen för e-postkällan kan observeras. |
| EmailSubject | sträng | E-postämnet kan observeras. |
| EmailXMailer | sträng | E-post X-Mailer kan observeras. |
| ExpirationDateTime | datetime | Förfallotid för indikatorn. |
| ExternalIndicatorId | sträng | Identifierare för indikator från att skicka system. |
| FileCompileDateTime | datetime | Tiden för filkompilering kan observeras. |
| FileCreatedDateTime | datetime | Tiden då filen skapades kunde observeras. |
| FileHashType | sträng | Filhashtypen kan observeras. |
| FileHashValue | sträng | Filhashvärdet kan observeras. |
| FileMutexName | sträng | Filens mutex-namn kan observeras. |
| Filnamn | sträng | Filnamnet kan observeras. |
| FilePacker | sträng | Filpaketeraren kan observeras. |
| Filepath | sträng | Filsökvägen kan observeras. |
| Filstorlek | int | Filstorleken kan observeras. |
| Filtyp | sträng | Filtypen kan observeras. |
| IndicatorId | sträng | Unik identifierare för indikator, beräknad genom att ta emot systemet. |
| IndicatorProvider | sträng | Namnet på den entitet som angav indikatorn. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| KillChainActions | boolesk | Anger om värdet "åtgärder" för kill chain har angetts. |
| KillChainC2 | boolesk | Anger om värdet "C2" för kill chain har angetts. |
| KillChainDelivery | boolesk | Anger om värdet "delivery" (leverans) för kill chain har angetts. |
| KillChainExploitation | boolesk | Anger om värdet "utnyttjande" för kill chain har angetts. |
| KillChainReconnaissance | boolesk | Anger om kill chain-värdet "reconniassance" har angetts. |
| KillChainWeaponization | boolesk | Anger om värdet "weaponization" (vapenisering) har angetts. |
| KnownFalsePositives | sträng | Text som beskriver situationer där indikatorn kan orsaka falska positiva identifieringar. |
| MalwareNames | sträng | Lista över namn på skadlig kod som är associerade med indikatorn |
| NetworkCidrBlock | sträng | Nätverkets CIDR-block kan observeras. |
| NetworkDestinationAsn | int | Nätverksmålets autonoma systemnummer kan observeras. |
| NetworkDestinationCidrBlock | sträng | Nätverksmålets CIDR-block kan observeras. |
| NetworkDestinationIP | sträng | Nätverkets mål-IP-adress. |
| NetworkDestinationPort | int | Nätverkets målport kan observeras. |
| NetworkIP | sträng | Nätverkets IP-adress kan observeras. |
| NetworkPort | int | Nätverksporten kan observeras. |
| NetworkProtocol | int | Nätverksprotokollet kan observeras. |
| NetworkSourceAsn | int | Nätverkskällans autonoma systemnummer kan observeras. |
| NetworkSourceCidrBlock | sträng | Nätverkskällans CIDR-block kan observeras. |
| NetworkSourceIP | sträng | Ip-adressen för nätverkskällan kan observeras. |
| NetworkSourcePort | int | Nätverkskällans port kan observeras. |
| PassiveOnly | boolesk | Anger om indikatorn ska utlösa en händelse som är synlig för en användare. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Taggar | sträng | Taggar för fritt formulär. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatSeverity | int | Allvarlighetsgrad för indikator från 0 till 5. Högre värde anger större allvarlighetsgrad. |
| ThreatType | sträng | Hottyp för indikator. |
| TimeGenerated | datetime | Tid för indikatorinmatning. |
| TrafficLightProtocolLevel | sträng | Branschstandard trafikljus protokollnivå, en av vit, grön, bärnsten eller röd. |
| Typ | sträng | Namnet på tabellen |
| URL | sträng | Url:en kan observeras. |
| Useragent | sträng | Användaragenten kan observeras. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för