通过

ConfidentialWatchlist

Azure Sentinel 机密监视列表包含从 CSV 文件导入的数据,这些数据可用于作为警报/事件条件加入或筛选。

表特性

Attribute
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询

类型 描述
AzureTenantId 字符串 此监视列表表所属的 AAD 租户 ID。
_BilledSize real 记录大小(字节)
CorrelationId 字符串 关联事件的 ID。
创建者 动态 创建监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。
CreatedTimeUTC 日期/时间 监视列表或监视列表项首次创建的时间 (UTC)。
DefaultDuration 字符串 描述监视列表的每个项在创建时应继承的默认持续时间的 JSON 对象。 默认的持续时间格式为 :P(n)Y(n)M(n)DT(n)H(n)M(n)S,其中 P、Y、M、DT、H、M 和 S 均为不变式。 例如,P3Y6M4DT12H30M9S 表示持续时间为三年六个月四天十二小时三十分钟九秒。
_DTItemId 字符串 监视列表或监视列表项的唯一 ID。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 监视列表项具有唯一 ID,并属于一个监视列表。 可以使用“WatchlistId”来标识包含的监视列表。
_DTItemStatus 字符串 监视列表或监视列表项是否由用户创建、更新或删除。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 如果添加了监视列表,则状态为“已创建”。 如果监视列表的名称从“RiskyUsers”更新为“RiskyEmployees”,则状态为“Updated”。
_DTItemType 字符串 区分监视列表和监视列表项。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 监视列表项类型将属于监视列表类型,并且可以使用“WatchlistId”标识包含的监视列表。
_DTTimestamp 日期/时间 事件生成的时间 (UTC)。
EntityMapping 动态 将 Azure Sentinel 实体映射到输入列的 JSON 对象。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LastUpdatedTimeUTC 日期/时间 监视列表或监视列表项最后一次更新的时间 (UTC)。
备注 字符串 用户提供的注释。
提供程序 字符串 监视列表的输入提供程序。
SearchKey 字符串 当使用监视列表与其他数据连接时,SearchKey 用于优化查询性能。 例如,启用包含 IP 地址的列作为指定的 SearchKey 字段,然后使用该字段按 IP 地址连接其他事件表。
Source 字符串 监视列表的输入源。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
标记 字符串 用户提供的标记的 JSON 数组。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 生成事件时的时间戳 (UTC)。
TimeToLive 日期/时间 监视列表记录的生存时间,表示为一天的日期和时间(例如 2020-08-20T17:00:00.9618037Z)。 其原始值继承自监视列表的默认持续时间。 如果 TimeToLive 时间已过,则认为记录已被删除。 通过更新 TimeToLive 值,记录的持续时间可随时延长。
类型 字符串 表的名称
UpdatedBy 动态 最后更新监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。
WatchlistAlias 字符串 引用监视列表的唯一字符串。
WatchlistCategory 字符串 用户提供的监视列表类别。
WatchlistId 字符串 资源管理器监视列表资源名称。
WatchlistItem 动态 包含输入监视列表源键值对的 JSON 对象。
WatchlistItemId 字符串 监视列表项的唯一 ID。
WatchlistName 字符串 监视列表的显示名称。