關注清單
Azure Sentinel Watchlist 包含從 CSV 檔案匯入的數據,可用來聯結或篩選為警示/事件條件。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄檔 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| AzureTenantId | 字串 | 此 Watchlist 數據表所屬的 AAD 租使用者識別碼。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CorrelationId | 字串 | 相互關聯事件的識別碼。 |
| CreatedBy | 動態 | JSON 物件,其中包含建立 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
| CreatedTimeUTC | datetime | 第一次建立關注清單或關注清單項目的時間 (UTC) 。 |
| DefaultDuration | 字串 | JSON 物件,描述監看清單每個專案在建立時應該繼承的默認持續時間。 默認持續時間的格式為:P (n) Y (n) M (n) DT (n) H (n) M (n) S,其中 P、Y、M、DT、H、M、H 和 S 是非變異的。 例如,P3Y6M4DT12H30M9S代表三年、六個月、四天、十二小時、三十分鐘和九秒的持續時間。 |
| _DTItemId | 字串 | Watchlist 或 Watchlist 專案唯一標識符。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 關注清單專案具有唯一標識符,且屬於關注清單。 包含的 Watchlist 可以使用 『WatchlistId' 來識別。 |
| _DTItemStatus | 字串 | 使用者已建立、更新或刪除關注清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 如果新增關注清單,狀態會是 「已建立」。 如果 Watchlist 的名稱從 'RiskyUsers' 更新為 'RiskyEmployees',狀態會是 'Updated'。 |
| _DTItemType | 字串 | 區分關注清單和關注清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 關注清單專案類型將屬於關注清單類型,且包含的 Watchlist 可以使用 『WatchlistId』 來識別。 |
| _DTTimestamp | datetime | 產生事件的時間 (UTC) 。 |
| EntityMapping | 動態 | 具有 Azure Sentinel 實體對應至輸入數據行的 JSON 物件。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| LastUpdatedTimeUTC | datetime | 上次更新關注清單或關注清單項目的時間 (UTC) 。 |
| 備註 | 字串 | 使用者所提供的附注。 |
| 提供者 | 字串 | 關注清單的輸入提供者。 |
| SearchKey | 字串 | 使用關注清單與其他數據聯結時,SearchKey 可用來優化查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後使用此欄位依 IP 位址聯結在其他事件資料表中。 |
| Source | 字串 | 關注清單的輸入來源。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| 標籤 | 字串 | 使用者提供的標籤 JSON 陣列。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| TimeGenerated | Datetime | 產生事件時,時間戳 (UTC) 。 |
| timeToLive | datetime | 監看清單記錄的存留時間,以日期與時間表示 (例如 2020-08-20T17:00:00.9618037Z) 。 其原始值繼承自 Watchlist 的預設持續時間。 如果 TimeToLive 通過,則會將記錄視為已刪除。 您可以藉由更新 TimeToLive 值,隨時擴充記錄的持續時間。 |
| 類型 | 字串 | 資料表的名稱 |
| UpdatedBy | 動態 | JSON 物件,其中包含上次更新 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
| WatchlistAlias | 字串 | 參考關注清單的唯一字串。 |
| WatchlistCategory | 字串 | 使用者提供的 [監看清單] 類別。 |
| WatchlistId | 字串 | Resource Manager Watchlist 資源名稱。 |
| WatchlistItem | 動態 | 來自輸入關注清單來源的索引鍵/值組 JSON 物件。 |
| WatchlistItemId | 字串 | Watchlist 專案唯一標識符。 |
| WatchlistName | 字串 | Watchlist 的顯示名稱。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應