異常
下表包含 Azure Sentinel 中作用中異常分析規則所產生的異常。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
ActivityInsights | 動態 | 關於對應至所產生異常之 activites 作為 JSON 的深入解析。 |
AnomalyDetails | 動態 | JSON 物件,其中包含產生異常的規則和演算法的一般資訊,以及異常的說明。 |
AnomalyReasons | 動態 | 產生異常的詳細說明為 JSON。 |
AnomalyTemplateId | 字串 | 產生此異常之異常範本的標識碼。 |
AnomalyTemplateName | 字串 | 產生此異常的異常範本名稱。 |
AnomalyTemplateVersion | 字串 | 產生此異常的異常範本版本。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
Description | 字串 | 異常的描述。 |
DestinationDevice | 字串 | 產生異常的目的地裝置。 |
DestinationIpAddress | 字串 | 產生異常的目的地IP位址。 |
DestinationLocation | 動態 | 異常產生為 JSON 之目的地位置的相關信息。 |
DeviceInsights | 動態 | 關於對應至所產生異常之裝置的深入解析,其為 JSON。 |
EndTime | datetime | 異常結束的時間 (UTC) 。 |
實體 | 動態 | JSON 物件,其中包含產生之異常中涉及的所有實體。 |
ExtendedLinks | 動態 | 指向產生異常之數據的連結清單。 |
ExtendedProperties | 動態 | JSON 物件,具有異常的其他數據做為索引鍵/值組。 |
識別碼 | 字串 | 產生的異常標識碼。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
RuleConfigVersion | 字串 | 產生此異常之異常分析規則的組態版本。 |
RuleId | 字串 | 產生此異常之異常分析規則的標識碼。 |
RuleName | 字串 | 產生此異常的異常分析規則名稱。 |
RuleStatus | 字串 | 產生此異常之異常分析規則的狀態 (正式發行前小眾測試/生產) 。 |
Score | real | 異常的分數。 |
SourceDevice | 字串 | 產生異常的來源裝置。 |
SourceIpAddress | 字串 | 產生異常的來源IP位址。 |
SourceLocation | 動態 | 異常產生為 JSON 的來源位置相關信息。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
StartTime | datetime | 異常啟動的時間 (UTC) 。 |
手段 | 字串 | MITRE ATT&CK 策略清單, (對應至異常的字串) 。 |
Techniques | 字串 | 列出 MITRE ATT&CK 技術, (對應至異常的字串) 。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 產生異常時,時間戳 (UTC) 。 |
類型 | 字串 | 資料表的名稱 |
UserInsights | 動態 | 關於對應至所產生異常之用戶作為 JSON 的深入解析。 |
使用者名稱 | 字串 | 產生異常的用戶名稱。 |
UserPrincipalName | 字串 | 產生異常之使用者的UPN。 |
VendorName | 字串 | 產生此異常之廠商的名稱。 |
WorkspaceId | 字串 | Sentinel 工作區的標識碼。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應