包括与警报关联的文件、IP 地址、URL、用户或设备。
表属性
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
是 |
|
示例查询 |
是 |
列
| 列 |
类型 |
描述 |
| 账户域 |
字符串 |
帐户的域。 |
| 账户名称 |
字符串 |
帐户的用户名。 |
| 账户对象ID |
字符串 |
Azure Active Directory 中帐户的唯一标识符。 |
| AccountSid |
字符串 |
帐户的安全标识符 (SID)。 |
| AccountUpn |
字符串 |
帐户的用户主体名称 (UPN)。 |
| 附加字段 |
动态 |
有关 JSON 数组格式的事件的其他信息。 |
| AlertId |
字符串 |
警报的唯一标识符。 |
| 应用程序 |
字符串 |
执行所记录操作的应用程序。 |
| ApplicationId |
整数 (int) |
应用程序的唯一标识符。 |
| 攻击技术 |
字符串 |
与触发警报的活动关联的 MITRE ATT&CK 技术。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 类别 |
字符串 |
信息所属的类别列表,采用 JSON 数组格式。 |
| CloudPlatform |
字符串 |
资源所属的云平台可以是 Azure、Amazon Web Services 或 Google Cloud Platform。 |
| CloudResource |
字符串 |
云资源名称。 |
| 检测来源 |
字符串 |
标识值得注意的组件或活动的检测技术或传感器。 |
| DeviceId |
字符串 |
设备在服务中的唯一标识符。 |
| 设备名称 |
字符串 |
计算机的完全限定域名 (FQDN)。 |
| 电子邮件主题 |
字符串 |
电子邮件的主题。 |
| 实体类型 |
字符串 |
对象类型,例如文件、进程、设备或用户。 |
| EvidenceDirection |
字符串 |
指示实体是网络连接的源还是目标。 |
| 证据角色 |
字符串 |
实体如何参与警报,表明它是受到影响还是仅仅相关。 |
| 文件名 |
字符串 |
应用了所记录操作的文件的名称。 |
| 文件大小 |
长整型 |
文件的大小(字节)。 |
| 文件夹路径 |
字符串 |
包含应用了所记录操作的文件的文件夹。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 本地IP地址 |
字符串 |
分配给通信期间使用的本地设备的 IP 地址。 |
| 网络消息编号 |
字符串 |
Office 365 生成的电子邮件的唯一标识符。 |
| OAuth应用程序ID |
字符串 |
第三方 OAuth 应用程序的唯一标识符。 |
| ProcessCommandLine |
字符串 |
用于创建新进程的命令行。 |
| RegistryKey |
字符串 |
应用了所记录操作的注册表项。 |
| 注册表值数据 |
字符串 |
应用了所记录操作的注册表值的数据。 |
| 注册表值名称 |
字符串 |
应用了所记录操作的注册表值的名称。 |
| RemoteIP |
字符串 |
所连接到的 IP 地址。 |
| RemoteUrl |
字符串 |
所连接到的 URL 或完全限定的域名 (FQDN)。 |
| ServiceSource |
字符串 |
提供警报信息的产品或服务。 |
| 严重程度 |
字符串 |
指示由警报识别的威胁指示器或违规活动的潜在影响(高、中或低)。 |
| SHA1 |
字符串 |
应用了所记录操作的文件的 SHA-1。 |
| SHA256 |
字符串 |
应用了所记录操作的文件的 SHA-256。 通常不会填充此字段 - 在可用时使用 SHA1 列。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| ThreatFamily |
字符串 |
可疑或恶意文件或进程所属的恶意软件系列。 |
| TimeGenerated |
日期/时间 |
生成记录时的日期和时间 (UTC)。 |
| 标题 |
字符串 |
警报的标题。 |
| 类型 |
字符串 |
表的名称 |