Ilumio Insights 数据连接器提供将审核和事件日志从 Ilumio Insight API 引入 Microsoft Sentinel 的功能。 数据连接器基于 Microsoft Sentinel 无代码连接器平台构建,并使用 Ilumio Insight API 提取事件。 连接器支持基于 DCR 的 引入时间转换 ,这些转换将收到的安全事件数据分析为自定义列,以便查询不需要再次分析它,从而提供更好的性能。
数据表属性
| Attribute |
Value |
|
资源类型 |
- |
|
Categories |
安全性 |
|
Solutions |
SecurityInsights |
|
基本日志 |
Yes |
|
引入时转换 |
No |
|
示例查询 |
Yes |
Columns
| Column |
类型 |
Description |
| AzureResourceId |
字符串 |
与事件关联的 Azure 资源 ID。 |
| _BilledSize |
real |
记录大小(字节) |
| CvssSeverity |
字符串 |
CVSS(常见漏洞评分系统)严重性分级。 |
| DestCity |
字符串 |
目标 IP 的地理位置所在城市。 |
| DestCountry |
字符串 |
目标 IP 所在的国家/地区。 |
| DestIP |
字符串 |
目标的 IP 地址。 |
| DestIsWellKnown |
bool |
指示目标是否为已知/受信任的实体。 |
| DestLabel |
字符串 |
分配给目标实体的标签或标记。 |
| DestPort |
int |
目标终结点上的端口号。 |
| DestThreatLevel |
字符串 |
与目标 IP 关联的威胁级别。 |
| FlowCount |
int |
在此事件中检测到的流或会话的数量。 |
| IllumioTenantId |
字符串 |
由 Illumio 为多租户环境分配的租户 ID。 |
| IllumioUrl |
字符串 |
用于在 Illumio 控制台中查看记录或关联详细信息的 URL。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Name |
字符串 |
见解或事件的名称或类型。 |
| Port |
int |
通信中涉及的源或服务端口。 |
| Proto |
字符串 |
通信中使用的协议(例如 TCP、UDP)。 |
| ResourceInternalId |
字符串 |
Illumio 内受监控资源的内部标识符。 |
| ResourceRegion |
字符串 |
部署资源的 Azure 区域。 |
| ResourceSubId |
字符串 |
包含资源的 Azure 订阅 ID。 |
| ResourceTenantId |
字符串 |
资源所属的 Azure 租户 ID。 |
| ResourceVnetId |
字符串 |
与资源关联的虚拟网络(VNet)的标识符。 |
| Service |
字符串 |
检测到或使用的服务的名称(例如 HTTP、SSH)。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcCity |
字符串 |
源 IP 所在的城市。 |
| SrcCountry |
字符串 |
源 IP 所在的国家/地区。 |
| SrcIP |
字符串 |
源的 IP 地址。 |
| SrcIsWellKnown |
bool |
指示源是否为已知/受信任的实体。 |
| SrcLabel |
字符串 |
分配给源实体的标签或标记。 |
| SrcPort |
int |
源实体使用的端口号。 |
| SrcThreatLevel |
字符串 |
与源 IP 关联的威胁级别(例如低、中、高)。 |
| Status |
字符串 |
见解的当前状态(例如活跃、已解决)。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
记录记录或事件的时间戳。 |
| TotalReceivedBytes |
int |
在通信流期间收到的字节总数。 |
| TotalSentBytes |
int |
在通信流期间发送的总字节数。 |
| 类型 |
字符串 |
表的名称 |
| UniqueId |
字符串 |
特定见解或事件的唯一标识符。 |
| VEScore |
real |
指示风险级别的漏洞暴露分数。 |