通过

NetworkAccessAlerts

此表是标识和网络访问的一部分,其中包含网络访问警报。 这些警报可用于了解网络访问的状态。

数据表属性

Attribute Value
资源类型 -
Categories 安全性、网络、IT & 管理工具
Solutions LogManagement
基本日志 Yes
引入时转换 No
示例查询 -

Columns

Column 类型 Description
AlertType 字符串 警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类型而不是警报实例。 来自同一检测逻辑/分析的所有警报实例都应具有相同的警报类型值。
_BilledSize real 记录大小(字节)
ComponentName 字符串 生成警报的产品内组件的名称。 这是一个可选字段,可能只会针对外部最终用户了解产品中的特定组件的产品进行填充。 对于提供不同类型的 SKU/捆绑包的产品,此字段可以存放 SKU 或捆绑包名称。
CreationDateTime 日期/时间 生成事件的日期和时间 (UTC)。
Description 字符串 从连接或会话的源发送到目标的字节数。
DetectionTechnology 字符串 用于保存警报威胁检测技术的可选字段。
DisplayName 字符串 警报的显示名称,此值按原样向用户显示或使用其他参数显示。
ExtendedProperties dynamic 将向用户呈现的一系列字段。 提供程序可以在此处发送任何应属于警报的自定义字段。
FirstActivityDateTime 日期/时间 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
Id 字符串 每个网络访问警报的唯一标识符。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsPreview bool IsPreview 将被定义为 true,其中警报处于公共预览状态,但尚未符合正式发布条件。 默认情况下,此值为 false。
LastActivityDateTime 日期/时间 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
PolicyId 字符串 与生成警报的网络访问流量关联的策略 ID。
ProductName 字符串 发布此警报的产品的名称,即 Azure 安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。
RelatedResources dynamic 与警报相关的实体的列表。 此列表可以包含不同类型的实体。 实体类型可以是在“实体”部分中定义的任意类型。 还可以发送不在下面列表中的实体,但是不能保证对其进行处理(警报不会在产生新类型的实体时失败)。
Severity 字符串 提供程序报告的警报的严重性。 可能的值:Informational、Low、Medium、High。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SubTechniques 字符串 可选字段,用于指定警报背后的终止链相关子技术。 应使用此 ID 在此列表中添加每个子技术,并且“意图”字段中应至少有一个匹配的意图。
Techniques 字符串 可选字段,用于指定警报背后的终止链相关技术。 应使用此 ID 在此列表中添加每个技术,并且“意图”字段中应至少有一个匹配的意图。 此字段的生成(技术 ID 的预期格式和与意图值的匹配)遵循 MITRE att@ck 企业矩阵模型(在新窗口或标签页中打开)。关于构成每个意图的不同技术的进一步指导,可以在 MITRE 的文档中找到。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 生成事件的日期和时间 (UTC)。
类型 字符串 表的名称
VendorName 字符串 引发警报的供应商的名称,此值按原样向用户显示。 对于大多数内部安全产品警报,应将其设置为“Microsoft”。