DynamicSummary
Azure Sentinel 动态摘要提供安全数据存储,用于保留集中结果和摘要,用于搜寻、调查、搜索、检测。 摘要说明和详细可观察对象可以存储在 Log Analytics 中,用于其他分析和报告生成。
表特性
| Attribute |
值 |
| 资源类型 |
- |
| 类别 |
- |
| 解决方案 |
SecurityInsights |
| 基本日志 |
否 |
| 引入时转换 |
否 |
| 示例查询 |
- |
列
| 列 |
类型 |
描述 |
| AzureTenantId |
string |
此 DynamicSummary 表所属的 AAD 租户 ID。 |
| _BilledSize |
real |
记录大小(字节) |
| 创建者 |
动态 |
含创建摘要的用户的 JSON 对象,包括:对象 ID、电子邮件和名称。 |
| CreatedTimeUTC |
datetime |
创建摘要的时间 (UTC)。 |
| EventTimeUTC |
datetime |
最初发生摘要项的时间 (UTC)。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| ObservableType |
string |
可观察对象是与计算系统操作相关的有状态事件或属性,有助于识别泄露指标。 例如,登录。 |
| ObservableValue |
string |
可观察对象类型的值,例如:异常 RDP 活动。 |
| PackedContent |
动态 |
JSON 对象具有可以使用 KQL pack_all() 生成的打包列。 |
| 查询 |
string |
这是用于生成结果的查询。 |
| QueryEndDate |
datetime |
此日期时间之前发生的事件将包含在结果中。 |
| QueryStartDate |
datetime |
此日期时间之后发生的事件将包含在结果中。 |
| RelationId |
string |
原始数据源 ID |
| RelationName |
string |
原始数据源名称。 |
| SearchKey |
string |
当使用 DynamicSummary 与其他数据连接时,SearchKey 用于优化查询性能。 例如,启用包含 IP 地址的列作为指定的 SearchKey 字段,然后使用该字段按 IP 地址连接其他事件表。 |
| SourceInfo |
动态 |
包含数据生成者信息的 JSON 对象,包括源、名称、版本。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SummaryDataType |
string |
此标志用于告知记录是摘要级别还是摘要项级别记录。 |
| SummaryDescription |
string |
用户提供的说明。 |
| SummaryId |
string |
摘要唯一 ID。 |
| SummaryItemId |
string |
摘要项唯一 ID。 |
| SummaryName |
string |
在工作区中唯一的摘要显示名称。 |
| SummaryStatus |
string |
活动或已删除。 |
| 策略 |
动态 |
MITRE ATT&CK 策略是攻击者试图实现的目标。 例如,外泄。 |
| 方法 |
动态 |
MITRE ATT&CK 技术是这些策略的实现方式。 |
| TenantId |
string |
Log Analytics 工作区 ID |
| TimeGenerated |
datetime |
将事件引入到 Azure Monitor 时的时间戳 (UTC)。 |
| 类型 |
字符串 |
表的名称 |
| UpdatedBy |
动态 |
含更新摘要的用户的 JSON 对象,包括:对象 ID、电子邮件和名称。 |
| UpdatedTimeUTC |
datetime |
更新摘要的时间 (UTC)。 |