NetworkAccessAlerts

此表是标识和网络访问的一部分,其中包含网络访问警报。 这些警报可用于了解网络访问的状态。

表属性

Attribute
资源类型 -
类别 安全性、网络、IT & 管理工具
解决方案 LogManagement
基本日志
引入时转换
示例查询 -

类型​​ 描述
AlertType string 警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类型而不是警报实例。 来自同一检测逻辑/分析的所有警报实例都应具有相同的警报类型值。
_BilledSize real 记录大小(字节)
ComponentName string 生成警报的产品内组件的名称。 这是一个可选字段,可能只会针对外部最终用户了解产品中的特定组件的产品进行填充。 对于提供不同类型的 SKU/捆绑包的产品,此字段可以存放 SKU 或捆绑包名称。
CreationDateTime datetime 生成事件的日期和时间 (UTC)。
说明 string 从连接或会话的源发送到目标的字节数。
DetectionTechnology string 用于保存警报威胁检测技术的可选字段。
DisplayName string 警报的显示名称,此值按原样向用户显示或使用其他参数显示。
ExtendedProperties 动态 将向用户呈现的一系列字段。 提供程序可以在此处发送任何应属于警报的自定义字段。
FirstActivityDateTime datetime 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
Id string 每个网络访问警报的唯一标识符。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsPreview 布尔 IsPreview 将被定义为 true,其中警报处于公共预览状态,但尚未符合正式发布条件。 默认情况下,此值为 false。
LastActivityDateTime datetime 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
PolicyId string 与生成警报的网络访问流量关联的策略 ID。
ProductName string 发布此警报的产品的名称,即 Azure 安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。
RelatedResources 动态 与警报相关的实体的列表。 此列表可以包含不同类型的实体。 实体类型可以是在“实体”部分中定义的任意类型。 以下列表中没有的实体也可以发送,但不能保证它们将被处理(使用实体的新类型时,警报验证不会失败)。
Severity string 提供程序报告的警报的严重性。 可能的值:Informational、Low、Medium、High。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SubTechniques string 可选字段,用于指定警报背后的终止链相关子技术。 应使用此 ID 在此列表中添加每个子技术,并且“意图”字段中应至少有一个匹配的意图。
方法 string 可选字段,用于指定警报背后的终止链相关技术。 应使用此 ID 在此列表中添加每个技术,并且“意图”字段中应至少有一个匹配的意图。 此字段的验证(技术 ID 的预期格式和与意图值的匹配)遵循 MITRE att@ck 企业矩阵模型(在新窗口或选项卡中打开),并且可在 MITRE 文档中找到有关组成每个意图的不同技术的进一步指导。
TenantId string Log Analytics 工作区 ID
TimeGenerated datetime 生成事件的日期和时间 (UTC)。
类型 字符串 表的名称
VendorName string 引发警报的供应商的名称,此值按原样向用户显示。 对于大多数内部安全产品警报,应将其设置为“Microsoft”。