威胁情报指示器
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 操作 | 字符串 | 要对指示器匹配执行的操作。 |
| 活动 | 布尔 | 指明指示器是否处于活动状态。 |
| ActivityGroupNames | 字符串 | 与指示器关联的活动组。 |
| AdditionalInformation | 字符串 | 指示器的自由文本附加信息。 |
| _BilledSize | real | 记录大小(字节) |
| ConfidenceScore | real | 指示器的置信度评级,从 0 到 100。 |
| 说明 | 字符串 | 指示器的说明。 |
| DiamondModel | 字符串 | 指示器的菱形模型值,包括对手、功能、基础结构或牺牲品。 |
| DomainName | 字符串 | 可观测的域名。 |
| EmailEncoding | 字符串 | 可观察的电子邮件编码。 |
| EmailLanguage | 字符串 | 可观察的电子邮件语言。 |
| EmailRecipient | 字符串 | 可观测的电子邮件收件人。 |
| EmailSenderAddress | 字符串 | 可观测的电子邮件发件人地址。 |
| EmailSenderName | 字符串 | 可观测的电子邮件发件人名称。 |
| EmailSourceDomain | 字符串 | 可观测的电子邮件源域。 |
| EmailSourceIpAddress | 字符串 | 可观测的电子邮件源 IP 地址。 |
| 电子邮件主题 | 字符串 | 可观测的电子邮件主题。 |
| EmailXMailer | 字符串 | 可观测的电子邮件 X-Mailer。 |
| ExpirationDateTime | 日期/时间 | 指示器到期时间。 |
| ExternalIndicatorId | 字符串 | 提交系统中指示器的标识符。 |
| FileCompileDateTime | 日期/时间 | 可观测的文件编译时间。 |
| FileCreatedDateTime | 日期/时间 | 可观测的文件创建时间。 |
| FileHashType | 字符串 | 可观测的文件哈希类型。 |
| FileHashValue | 字符串 | 可观测的文件哈希值。 |
| FileMutexName | 字符串 | 可观测的文件互斥体名称。 |
| FileName | 字符串 | 可观测的文件名。 |
| FilePacker | 字符串 | 可观测的文件打包器。 |
| 文件路径 | 字符串 | 可观测的文件路径。 |
| FileSize | int | 可观测的文件大小。 |
| FileType | 字符串 | 可观测的文件类型。 |
| IndicatorId | 字符串 | 指示器的唯一标识符,由接收系统计算。 |
| IndicatorProvider | 字符串 | 提供指示器的实体名称。 |
| _IsBillable | 字符串 | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KillChainActions | 布尔 | 指明是否已设置终止链值“actions”。 |
| KillChainC2 | 布尔 | 指明是否设置了终止链值“C2”。 |
| KillChainDelivery | 布尔 | 指明是否已设置终止链值“delivery”。 |
| KillChainExploitation | 布尔 | 指明是否已设置终止链值“exploitation”。 |
| KillChainReconnaissance | 布尔 | 指明是否已设置终止链值“reconniassance”。 |
| KillChainWeaponization | 布尔 | 指明是否已设置终止链值“weaponization”。 |
| KnownFalsePositives | 字符串 | 描述指示器可能导致误报情况的文本。 |
| MalwareNames | 字符串 | 与指示器关联的恶意软件名称列表 |
| NetworkCidrBlock | 字符串 | 可观测的网络 CIDR 块。 |
| NetworkDestinationAsn | int | 可观测的网络目标自治系统编号。 |
| NetworkDestinationCidrBlock | 字符串 | 可观测的网络目标 CIDR 块。 |
| NetworkDestinationIP | 字符串 | 网络目标 IP 地址。 |
| NetworkDestinationPort | int | 可观测的网络目标端口。 |
| NetworkIP | 字符串 | 可观测的网络 IP 地址。 |
| NetworkPort | int | 可观测的网络端口。 |
| NetworkProtocol | int | 可观测的网络协议。 |
| NetworkSourceAsn | int | 可观测的网络源自治系统编号。 |
| NetworkSourceCidrBlock | 字符串 | 可观测的网络源 CIDR 块。 |
| NetworkSourceIP | 字符串 | 可观测的网络源 IP 地址。 |
| NetworkSourcePort | int | 可观测的网络源端口。 |
| PassiveOnly | 布尔 | 指明指示器是否应触发对用户可见的事件。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 标记 | 字符串 | 自由窗体标记。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| ThreatSeverity | int | 指示器严重性分级从 0 到 5。 数值越大,表示严重程度越高。 |
| ThreatType | 字符串 | 指示器的威胁类型。 |
| TimeGenerated | 日期/时间 | 指示器引入的时间。 |
| TrafficLightProtocolLevel | 字符串 | 行业标准交通灯协议级别,白色、绿色、琥珀色或红色之一。 |
| 类型 | 字符串 | 表的名称 |
| URL | 字符串 | 可观测的 URL。 |
| UserAgent | 字符串 | 可观测的用户代理。 |