NetworkAccessAlerts
此表是标识和网络访问的一部分,其中包含网络访问警报。 这些警报可用于了解网络访问的状态。
表属性
Attribute |
值 |
资源类型 |
- |
类别 |
安全性、网络、IT & 管理工具 |
解决方案 |
LogManagement |
基本日志 |
否 |
引入时转换 |
否 |
示例查询 |
- |
列
列 |
类型 |
描述 |
AlertType |
string |
警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类型而不是警报实例。 来自同一检测逻辑/分析的所有警报实例都应具有相同的警报类型值。 |
_BilledSize |
real |
记录大小(字节) |
ComponentName |
string |
生成警报的产品内组件的名称。 这是一个可选字段,可能只会针对外部最终用户了解产品中的特定组件的产品进行填充。 对于提供不同类型的 SKU/捆绑包的产品,此字段可以存放 SKU 或捆绑包名称。 |
CreationDateTime |
datetime |
生成事件的日期和时间 (UTC)。 |
说明 |
string |
从连接或会话的源发送到目标的字节数。 |
DetectionTechnology |
string |
用于保存警报威胁检测技术的可选字段。 |
DisplayName |
string |
警报的显示名称,此值按原样向用户显示或使用其他参数显示。 |
ExtendedProperties |
动态 |
将向用户呈现的一系列字段。 提供程序可以在此处发送任何应属于警报的自定义字段。 |
FirstActivityDateTime |
datetime |
警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。 |
Id |
string |
每个网络访问警报的唯一标识符。 |
_IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
IsPreview |
布尔 |
IsPreview 将被定义为 true,其中警报处于公共预览状态,但尚未符合正式发布条件。 默认情况下,此值为 false。 |
LastActivityDateTime |
datetime |
警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。 |
PolicyId |
string |
与生成警报的网络访问流量关联的策略 ID。 |
ProductName |
string |
发布此警报的产品的名称,即 Azure 安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。 |
RelatedResources |
动态 |
与警报相关的实体的列表。 此列表可以包含不同类型的实体。 实体类型可以是在“实体”部分中定义的任意类型。 以下列表中没有的实体也可以发送,但不能保证它们将被处理(使用实体的新类型时,警报验证不会失败)。 |
Severity |
string |
提供程序报告的警报的严重性。 可能的值:Informational、Low、Medium、High。 |
SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
SubTechniques |
string |
可选字段,用于指定警报背后的终止链相关子技术。 应使用此 ID 在此列表中添加每个子技术,并且“意图”字段中应至少有一个匹配的意图。 |
方法 |
string |
可选字段,用于指定警报背后的终止链相关技术。 应使用此 ID 在此列表中添加每个技术,并且“意图”字段中应至少有一个匹配的意图。 此字段的验证(技术 ID 的预期格式和与意图值的匹配)遵循 MITRE att@ck 企业矩阵模型(在新窗口或选项卡中打开),并且可在 MITRE 文档中找到有关组成每个意图的不同技术的进一步指导。 |
TenantId |
string |
Log Analytics 工作区 ID |
TimeGenerated |
datetime |
生成事件的日期和时间 (UTC)。 |
类型 |
字符串 |
表的名称 |
VendorName |
string |
引发警报的供应商的名称,此值按原样向用户显示。 对于大多数内部安全产品警报,应将其设置为“Microsoft”。 |