Microsoft Sentinel规范化警报事件表。 存储与安全事件和警报关联的事件,确保跨不同数据源进行一致且高效的分析。
数据表属性
| Attribute |
价值 |
|
资源类型 |
microsoft.securityinsights/alerteventnormalized |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
Description |
| AdditionalFields |
dynamic |
其他信息,使用源提供的键/值对来表示,这些信息不映射到 ASim。 |
| 警报描述 |
字符串 |
EventMessage 字段的别名或友好名称。 |
| AlertId |
字符串 |
EventUid 字段的别名或友好名称。 |
| AlertName |
字符串 |
警报的标题或名称。 |
| AlertOriginalStatus |
字符串 |
原始系统报告的警报状态。 |
| AlertStatus |
字符串 |
指示警报的当前状态或进度。 |
| AlertVerdict |
字符串 |
警报的最终确定或结果,指示警报是确认为威胁,还是被视为可疑,或者作为误报解决。 |
| AttackRemediationSteps |
字符串 |
建议的操作或步骤,旨在缓解或补救已识别的攻击或威胁。 |
| AttackTactics |
字符串 |
与警报关联的攻击策略(名称、ID 或两者)。 |
| 攻击技术 |
字符串 |
与警报关联的攻击技术(名称、ID 或两者)。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| DetectionMethod |
字符串 |
提供有关特定检测方法、技术或导致生成警报的数据源的详细信息。 |
| DvcAction |
字符串 |
对于报告安全系统,系统执行的作。 |
| DvcDescription |
字符串 |
与设备关联的描述性文本。 |
| DvcDomain |
字符串 |
设备报告事件的域名。 |
| DvcDomainType |
字符串 |
DvcDomain 的类型。 |
| DvcFQDN |
字符串 |
发生了事件或报告了事件的设备的主机名。 |
| DvcHostname |
字符串 |
报告事件的设备的主机名。 |
| “DvcId” |
字符串 |
发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType |
字符串 |
DvcId 的类型。 |
| DvcInterface |
字符串 |
捕获数据的网络接口。 |
| DvcIpAddr |
字符串 |
报告事件的设备的 IP 地址。 |
| DvcMacAddr |
字符串 |
发生了事件或报告了事件的设备的 MAC 地址。 |
| DvcOriginalAction |
字符串 |
由报告设备提供的原始 DvcAction。 |
| DvcOs |
字符串 |
发生了事件或报告了事件的设备上运行的操作系统。 |
| DvcOsVersion |
字符串 |
发生了事件或报告了事件的设备上的操作系统版本。 |
| DvcScope |
字符串 |
设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID,以及 AWS 上的帐户 ID。 |
| DvcScopeId |
字符串 |
设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone |
字符串 |
发生了事件或报告了事件的网络。 |
| EmailMessageId |
字符串 |
与警报关联的电子邮件消息的唯一标识符。 |
| 电子邮件主题 |
字符串 |
电子邮件的主题。 |
| EventCount |
int |
记录中描述的事件数。 |
| 事件结束时间 |
日期/时间 |
事件结束的时间(UTC)。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage |
字符串 |
常规消息或说明。 |
| EventOriginalResultDetails |
字符串 |
源提供的原始结果详细信息。 |
| EventOriginalSeverity |
字符串 |
报告设备提供的原始严重性。 |
| EventOriginalSubType |
字符串 |
原始事件子类型或 ID(如果已由源提供)。 |
| EventOriginalType |
字符串 |
原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid |
字符串 |
原始记录的唯一 ID(如果已由源提供)。 |
| 活动主办方 |
字符串 |
事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct |
字符串 |
生成事件的产品。 |
| EventProductVersion |
字符串 |
生成事件的产品的版本。 |
| 事件报告链接 |
字符串 |
事件中提供的 URL 指向一个资源,该资源提供关于该事件的更多信息。 |
| EventResult |
字符串 |
事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 |
字符串 |
EventResult 字段中报告的结果的原因或详细信息。 |
| EventSchemaVersion |
字符串 |
架构的版本。 |
| EventSeverity |
字符串 |
事件的严重性。 有效选项为:信息性、低、中或高。 |
| 事件开始时间 |
日期/时间 |
事件开始的时间(UTC)。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 |
字符串 |
描述 EventType 字段中报告的作的细分。 |
| 事件类型 |
字符串 |
描述记录中报告的操作。 |
| EventUid |
字符串 |
机器可读的字母数字字符串,用于唯一标识系统中的警报。 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 |
| FileMD5 |
字符串 |
文件的 MD5 哈希。 |
| 文件名 |
字符串 |
与警报关联的文件的名称,不含路径或位置。 |
| FilePath |
字符串 |
目标文件的完整规范化路径,包括文件夹或位置、文件名和扩展名。 |
| FileSHA1 |
字符串 |
文件的 SHA1 哈希。 |
| FileSHA256 |
字符串 |
文件的 SHA256 哈希。 |
| 文件大小 |
字符串 |
文件的大小(以字节为单位)。 |
| IndicatorAssociation |
字符串 |
指定指标是与威胁相关,还是直接受到威胁的影响。 |
| IndicatorType |
字符串 |
指示器的类型或类别。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当_IsBillable为 false 引入时,不会向你Azure帐户计费 |
| OriginalUserType |
字符串 |
报告设备报告的用户类型。 |
| ProcessCommandLine |
字符串 |
用于启动进程的命令行。 |
| ProcessFileCompany |
字符串 |
创建进程映像文件的公司。 |
| ProcessId |
字符串 |
与警报关联的进程 ID (PID)。 |
| ProcessName |
字符串 |
进程的名称。 |
| RegistryKey |
字符串 |
与警报关联的注册表项,规范化为标准根密钥命名约定。 |
| RegistryValue |
字符串 |
注册表值。 |
| RegistryValueData |
字符串 |
注册表值的数据。 |
| RegistryValueType |
字符串 |
注册表值的类型。 |
| _资源ID |
字符串 |
与记录关联的资源的唯一标识符 |
| 规则 |
字符串 |
RuleName 的值,或 RuleNumber 的值。 |
| RuleDescription |
字符串 |
与警报关联的规则的说明。 |
| 规则名称 |
字符串 |
与警报关联的规则的名称或 ID。 |
| RuleNumber |
int |
与警报关联的规则的编号。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,Windows 代理的 OpsManager、直接连接或Operations Manager、所有 Linux 代理的 Linux,或用于 Azure Diagnostics 的 Azure |
| _SubscriptionId(订阅编号) |
字符串 |
唯一标识符,用于识别与此记录关联的订阅 |
| 租户ID |
字符串 |
Log Analytics工作区 ID |
| 威胁类别 |
字符串 |
在警报中指明的威胁或恶意软件的类别。 |
| ThreatConfidence |
int |
已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatFirstReportedTime |
日期/时间 |
第一次报告该威胁的日期和时间。 |
| 威胁编号 (ThreatId) |
字符串 |
在警报中指明的威胁或恶意软件的 ID。 |
| 威胁处于活跃状态 |
布尔 |
指示威胁当前是否处于活动状态。 |
| ThreatLastReportedTime |
日期/时间 |
上一次报告该威胁的日期和时间。 |
| 威胁名称 |
字符串 |
在警报中指明的威胁或恶意软件的名称。 |
| ThreatOriginalCategory |
字符串 |
由发起系统报告的威胁类别。 |
| 威胁原始信心 |
字符串 |
发起系统报告的置信度。 |
| 威胁原始风险等级 |
字符串 |
发起系统报告的风险级别。 |
| 威胁风险级别 |
int |
与威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
| TimeGenerated |
日期/时间 |
时间戳 (UTC),反映生成事件的时间。 |
| 类型 |
字符串 |
表的名称 |
| 网址 |
字符串 |
在警报中捕获的 URL 字符串。 |
| 用户 |
字符串 |
用户名字段的别名或友好名称。 |
| UserId |
字符串 |
与警报关联的用户的机器可读的唯一字母数字表示形式。 |
| UserIdType |
字符串 |
用户 ID 的类型,例如 GUID、SID 或电子邮件。 |
| 用户名 |
字符串 |
与警报关联的用户的名称,包括域信息(如果可用)。 |
| UsernameType |
字符串 |
指定“用户名”字段中存储的用户名的类型。 |
| UserScope |
字符串 |
定义 UserId 和 Username 的Microsoft Entra租户等范围。 |
| UserScopeId |
字符串 |
定义 UserId 和用户名的作用域 ID,例如Microsoft Entra目录 ID。 |
| UserSessionId |
字符串 |
与警报关联的用户会话的唯一 ID。 |
| 用户类型 |
字符串 |
参与者的类型。 |