異常

下表包含 Azure Sentinel 中作用中異常分析規則所產生的異常。

數據表屬性

屬性	值
資源類型	-
類別	安全性
方案	SecurityInsights
基本記錄檔	No
擷取時間轉換	Yes
範例查詢	是

資料行

資料行	類型	Description
ActivityInsights	動態	關於對應至所產生異常之 activites 作為 JSON 的深入解析。
AnomalyDetails	動態	JSON 物件，其中包含產生異常的規則和演算法的一般資訊，以及異常的說明。
AnomalyReasons	動態	產生異常的詳細說明為 JSON。
AnomalyTemplateId	字串	產生此異常之異常範本的標識碼。
AnomalyTemplateName	字串	產生此異常的異常範本名稱。
AnomalyTemplateVersion	字串	產生此異常的異常範本版本。
_BilledSize	real	以位元組為單位的記錄大小
Description	字串	異常的描述。
DestinationDevice	字串	產生異常的目的地裝置。
DestinationIpAddress	字串	產生異常的目的地IP位址。
DestinationLocation	動態	異常產生為 JSON 之目的地位置的相關信息。
DeviceInsights	動態	關於對應至所產生異常之裝置的深入解析，其為 JSON。
EndTime	datetime	異常結束的時間 (UTC) 。
實體	動態	JSON 物件，其中包含產生之異常中涉及的所有實體。
ExtendedLinks	動態	指向產生異常之數據的連結清單。
ExtendedProperties	動態	JSON 物件，具有異常的其他數據做為索引鍵/值組。
識別碼	字串	產生的異常標識碼。
_IsBillable	字串	指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時
RuleConfigVersion	字串	產生此異常之異常分析規則的組態版本。
RuleId	字串	產生此異常之異常分析規則的標識碼。
RuleName	字串	產生此異常的異常分析規則名稱。
RuleStatus	字串	產生此異常之異常分析規則的狀態 (正式發行前小眾測試/生產) 。
Score	real	異常的分數。
SourceDevice	字串	產生異常的來源裝置。
SourceIpAddress	字串	產生異常的來源IP位址。
SourceLocation	動態	異常產生為 JSON 的來源位置相關信息。
SourceSystem	字串	事件所收集的代理程序類型。 例如，OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式，或Azure針對 Azure 診斷
StartTime	datetime	異常啟動的時間 (UTC) 。
手段	字串	MITRE ATT&CK 策略清單， (對應至異常的字串) 。
Techniques	字串	列出 MITRE ATT&CK 技術， (對應至異常的字串) 。
TenantId	字串	Log Analytics 工作區標識符
TimeGenerated	Datetime	產生異常時，時間戳 (UTC) 。
類型	字串	資料表的名稱
UserInsights	動態	關於對應至所產生異常之用戶作為 JSON 的深入解析。
使用者名稱	字串	產生異常的用戶名稱。
UserPrincipalName	字串	產生異常之使用者的UPN。
VendorName	字串	產生此異常之廠商的名稱。
WorkspaceId	字串	Sentinel 工作區的標識碼。