你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
包括与警报关联的文件、IP 地址、URL、用户或设备。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AccountDomain | 字符串 | 帐户的域。 |
| 账户名称 | 字符串 | 帐户的用户名。 |
| AccountObjectId | 字符串 | Azure Active Directory 中帐户的唯一标识符。 |
| AccountSid | 字符串 | 帐户的安全标识符 (SID)。 |
| AccountUpn | 字符串 | 帐户的用户主体名称 (UPN)。 |
| AdditionalFields | 动态的 | 有关 JSON 数组格式的事件的其他信息。 |
| AlertId | 字符串 | 警报的唯一标识符。 |
| 应用程序 | 字符串 | 执行所记录操作的应用程序。 |
| ApplicationId | 整数 (int) | 应用程序的唯一标识符。 |
| 攻击技术 | 字符串 | 与触发警报的活动关联的 MITRE ATT&CK 技术。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| 类别 | 字符串 | 信息所属的类别列表,采用 JSON 数组格式。 |
| CloudPlatform | 字符串 | 资源所属的云平台可以是 Azure、Amazon Web Services 或 Google Cloud Platform。 |
| CloudResource | 字符串 | 云资源名称。 |
| 检测来源 | 字符串 | 标识值得注意的组件或活动的检测技术或传感器。 |
| DeviceId | 字符串 | 设备在服务中的唯一标识符。 |
| 设备名称 | 字符串 | 计算机的完全限定的域名 (FQDN)。 |
| 电子邮件主题 | 字符串 | 电子邮件的主题。 |
| 实体类型 | 字符串 | 对象类型,例如文件、进程、设备或用户。 |
| EvidenceDirection | 字符串 | 指示实体是网络连接的源还是目标。 |
| EvidenceRole | 字符串 | 实体如何参与警报,表明它是受到影响还是仅仅相关。 |
| 文件名 | 字符串 | 应用记录操作的文件名称。 |
| 文件大小 | 长整型 | 文件的大小(字节)。 |
| FolderPath | 字符串 | 包含应用记录操作的文件的文件夹。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 本地IP地址 | 字符串 | 分配给通信期间使用的本地设备的 IP 地址。 |
| 网络消息编号 | 字符串 | Office 365 生成的电子邮件的唯一标识符。 |
| OAuthApplicationId | 字符串 | 第三方 OAuth 应用程序的唯一标识符。 |
| ProcessCommandLine | 字符串 | 用于创建新进程的命令行。 |
| RegistryKey | 字符串 | 应用记录操作的注册表项。 |
| RegistryValueData | 字符串 | 应用记录操作的注册表值的数据。 |
| RegistryValueName | 字符串 | 所记录操作应用到的注册表值名称。 |
| RemoteIP | 字符串 | 所连接到的 IP 地址。 |
| RemoteUrl | 字符串 | 所连接到的 URL 或完全限定的域名 (FQDN)。 |
| ServiceSource | 字符串 | 提供警报信息的产品或服务。 |
| 严重程度 | 字符串 | 指示由警报识别的威胁指示器或违规活动的潜在影响(高、中或低)。 |
| SHA1 | 字符串 | 应用记录操作的文件的 SHA-1。 |
| SHA256 | 字符串 | 应用已记录操作的文件的 SHA-256。 通常不会填充此字段 - 在可用时使用 SHA1 列。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| ThreatFamily | 字符串 | 可疑或恶意文件或进程所属的恶意软件家族。 |
| TimeGenerated | 日期/时间 | 生成记录时的日期和时间 (UTC)。 |
| 标题 | 字符串 | 警报的标题。 |
| 类型 | 字符串 | 表的名称 |