通过

AlertEvidence

  • 项目

包括与警报关联的文件、IP 地址、URL、用户或设备。

表属性

Attribute
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询

类型​​ 描述
AccountDomain string 帐户的域。
AccountName string 帐户的用户名。
AccountObjectId string Azure Active Directory 中帐户的唯一标识符。
AccountSid string 帐户的安全标识符 (SID)。
AccountUpn string 帐户的用户主体名称 (UPN)。
AdditionalFields 动态 有关 JSON 数组格式的事件的其他信息。
AlertId string 警报的唯一标识符。
应用程序 string 执行所记录操作的应用程序。
ApplicationId int 应用程序的唯一标识符。
AttackTechniques string 与触发警报的活动关联的 MITRE ATT&CK 技术。
_BilledSize real 记录大小(字节)
类别 string 信息所属的类别列表,采用 JSON 数组格式。
DetectionSource string 标识值得注意的组件或活动的检测技术或传感器。
DeviceId string 设备在服务中的唯一标识符。
设备名称 string 计算机的完全限定域名 (FQDN)。
电子邮件主题 string 电子邮件的主题。
EntityType string 对象类型,例如文件、进程、设备或用户。
EvidenceDirection string 指示实体是网络连接的源还是目标。
EvidenceRole string 实体如何参与警报,表明它是受到影响还是仅仅相关。
FileName string 应用了所记录操作的文件的名称。
FileSize long 文件的大小(字节)。
FolderPath string 包含应用了所记录操作的文件的文件夹。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LocalIP string 分配给通信期间使用的本地设备的 IP 地址。
NetworkMessageId string Office 365 生成的电子邮件的唯一标识符。
OAuthApplicationId string 第三方 OAuth 应用程序的唯一标识符。
ProcessCommandLine string 用于创建新进程的命令行。
RegistryKey string 应用了所记录操作的注册表项。
RegistryValueData string 应用了所记录操作的注册表值的数据。
RegistryValueName string 应用了所记录操作的注册表值的名称。
RemoteIP string 所连接到的 IP 地址。
RemoteUrl string 所连接到的 URL 或完全限定的域名 (FQDN)。
ServiceSource string 提供警报信息的产品或服务。
SHA1 string 应用了所记录操作的文件的 SHA-1。
SHA256 string 应用了所记录操作的文件的 SHA-256。 通常不会填充此字段 - 在可用时使用 SHA1 列。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId string Log Analytics 工作区 ID
ThreatFamily string 可疑或恶意文件或进程所属的恶意软件系列。
TimeGenerated datetime 生成记录时的日期和时间 (UTC)。
标题 string 警报的标题。
类型 字符串 表的名称