Google Cloud Platform IDS 数据连接器提供使用计算引擎 API 将云 IDS 日志引入 Microsoft Sentinel 的功能。 这样就可以通过监视网络流量和识别可疑活动,来检测和响应 Google Cloud 环境中的潜在威胁。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| AlertSeverity |
字符串 |
威胁的严重性。 信息性、低、中等、高或严重之一。 |
| 警报时间 |
日期/时间 |
发现威胁的时间。 |
| 应用程序 |
字符串 |
可疑流量的应用程序类型,例如 SSH。 |
| 身份验证信息主体电子邮件 |
字符串 |
发起请求的经过身份验证的用户或服务帐户的电子邮件地址。 |
| 授权信息 |
字符串 |
有关为操作评估的权限或角色的信息。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 类别 |
字符串 |
威胁的子类型。 |
| CVE |
字符串 |
与威胁关联的 CVE 列表。 |
| 目标IP地址 |
字符串 |
可疑流量的目标 IP 地址。 |
| 目的港 |
字符串 |
可疑流量的目标端口。 |
| 详细信息 |
字符串 |
有关威胁类型的其他信息。 |
| 方向 |
字符串 |
可疑流量的方向(客户端到服务器或服务器到客户端)。 |
| 消耗时间 |
字符串 |
会话的已用时间。 |
| InsertId |
字符串 |
日志条目的唯一标识符。 |
| IP协议 |
字符串 |
可疑流量的 IP 协议。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| JSON负载名称 |
字符串 |
威胁名称。 |
| JsonPayloadType |
字符串 |
威胁的类型。 |
| LogName (日志名称) |
字符串 |
完整日志名称,包括资源路径。 |
| 方法名称 |
字符串 |
已调用的 API 方法或函数的名称。 |
| 网络 |
字符串 |
与 IDS 终结点关联的网络。 |
| NumResponseItems |
字符串 |
响应中返回的项数(如果适用)。 |
| OperationFirst |
布尔 |
表示这是一系列操作中的第一个日志条目。 |
| OperationId |
字符串 |
用于操作的唯一标识符,可用于在日志中进行跟踪和关联。 |
| OperationLast |
布尔 |
指示这是否是操作序列中的最后一个日志条目。 |
| OperationProducer |
字符串 |
生成该操作的组件或服务。 |
| 载荷类型 |
字符串 |
与请求关联的有效负载的类型或格式。 |
| 接收时间戳 |
日期/时间 |
日志条目被 Cloud Logging 接收的时间。 |
| 重复次数 |
字符串 |
在 5 秒内出现相同源 IP、目标 IP、应用程序和类型的会话数。 |
| RequestEndpointId |
字符串 |
处理请求的终结点的唯一标识符。 |
| 请求端点名称 |
字符串 |
向其发送请求的终结点的名称。 |
| RequestEndpointNetwork |
字符串 |
访问终结点时所使用的网络路径或名称。 |
| RequestEndpointSeverity |
字符串 |
与威胁检测或访问上下文中的终结点关联的严重性。 |
| 请求端点威胁例外 |
字符串 |
对于此请求而应用于终结点的威胁例外(如果有)。 |
| 请求端点流量日志 |
字符串 |
与端点请求相关的流量日志的详细信息或引用信息。 |
| RequestMetadataCallerIP |
字符串 |
发起请求的调用方 IP 地址。 |
| RequestMetadataDestinationAttributes |
字符串 |
有关目标服务或资源的元数据属性。 |
| RequestMetadataRequestAttributesAuth |
字符串 |
与身份验证相关的请求属性,例如令牌或身份验证级别。 |
| 请求元数据请求属性原因 |
字符串 |
请求的原因,例如策略行动或用户发起的更改。 |
| RequestMetadataRequestAttributesTime |
日期/时间 |
记录请求属性的时间戳。 |
| 请求名称 |
字符串 |
请求中要访问或修改的资源的名称或标识符。 |
| RequestParent |
字符串 |
请求的父资源,指示层次结构或上下文。 |
| 请求类型 |
字符串 |
请求的类型。 |
| 请求更新掩码路径 |
字符串 |
请求中要更新的路径。 |
| ResourceLabelsId |
字符串 |
日志条目中涉及的资源的唯一标识符。 |
| ResourceLabelsLocation |
字符串 |
资源的地理或区域位置。 |
| ResourceLabelsMethod |
字符串 |
对资源执行的方法或操作,通常关联到 API 调用或服务方法。 |
| ResourceLabelsProjectId |
字符串 |
与资源关联的项目 ID,通常表示 Google Cloud 项目。 |
| 资源标签资源容器 |
字符串 |
资源所属的容器或逻辑分组的名称(例如文件夹、组织)。 |
| ResourceLabelsService |
字符串 |
指示云服务的服务标签。 |
| 资源位置当前位置 |
字符串 |
在日志条目记录时,资源的当前物理或逻辑位置。 |
| 响应名称 |
字符串 |
响应中返回的资源的名称或 ID。 |
| ResponseNetwork |
字符串 |
与响应关联的网络路径或标识符。 |
| ResponseSeverity |
字符串 |
响应的严重性级别(尤其是在错误或警报上下文中)。 |
| ResponseState |
字符串 |
针对检测到的威胁采取的响应作的状态或结果。 |
| 响应威胁例外 |
字符串 |
响应期间应用的任何威胁例外列表,允许特定威胁绕过强制措施。 |
| 响应流量日志 |
布尔 |
指示是否为会话或威胁响应捕获了流量日志。 |
| 响应类型 |
字符串 |
从操作返回的响应的类型或格式。 |
| 服务名称 |
字符串 |
与日志条目或威胁检测关联的云服务的名称。 |
| SessionId(会话ID) |
字符串 |
应用于每个会话的内部数字标识符。 |
| 严重程度 |
字符串 |
指示日志条目或事件的严重性级别。 |
| 来源IP地址 |
字符串 |
可疑流量的源 IP 地址。 |
| SourcePort |
字符串 |
流量的源端口。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 开始时间 |
日期/时间 |
会话开始的时间。 |
| 状态 |
字符串 |
操作或请求的状态,例如 SUCCESS、FAILURE 或 ERROR。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| 威胁编号 (ThreatId) |
字符串 |
唯一威胁标识符。 |
| TimeGenerated |
日期/时间 |
日志记录系统生成和引入日志条目时的时间戳。 |
| 时间戳 |
日期/时间 |
源系统记录的事件的原始时间戳。 |
| 总字节数 |
字符串 |
会话中传输的总字节数。 |
| TotalPackets |
字符串 |
会话中传输的数据包总数。 |
| 类型 |
字符串 |
表的名称 |
| URIOrFilename |
字符串 |
相关威胁的 URI 或文件名(如果适用)。 |