通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

IlumioInsights

Ilumio Insights 数据连接器提供将审核和事件日志从 Ilumio Insight API 引入 Microsoft Sentinel 的功能。 数据连接器基于 Microsoft Sentinel 无代码连接器平台构建,并使用 Ilumio Insight API 提取事件。 连接器支持基于 DCR 的 引入时间转换 ,这些转换将收到的安全事件数据分析为自定义列,以便查询不需要再次分析它,从而提供更好的性能。

数据表属性

特征 价值
资源类型 -
类别 安全
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 是的

类型 DESCRIPTION
AzureResourceId 字符串 与事件关联的 Azure 资源 ID。
_BilledSize(账单大小) real 记录大小(字节)
CvssSeverity 字符串 CVSS(常见漏洞评分系统)严重性分级。
DestCity 字符串 目标 IP 的地理位置所在城市。
DestCountry 字符串 目标 IP 所在的国家/地区。
DestIP 字符串 目标的 IP 地址。
DestIsWellKnown 布尔 指示目标是否为已知/受信任的实体。
DestLabel 字符串 分配给目标实体的标签或标记。
DestPort 整数 (int) 目标终结点上的端口号。
DestThreatLevel 字符串 与目标 IP 关联的威胁级别。
FlowCount 整数 (int) 在此事件中检测到的流或会话的数量。
IllumioTenantId 字符串 由 Illumio 为多租户环境分配的租户 ID。
IllumioUrl 字符串 用于在 Illumio 控制台中查看记录或关联详细信息的 URL。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
名称 字符串 见解或事件的名称或类型。
港口 整数 (int) 通信中涉及的源或服务端口。
协议 字符串 通信中使用的协议(例如 TCP、UDP)。
ResourceInternalId 字符串 Illumio 内受监控资源的内部标识符。
ResourceRegion 字符串 部署资源的 Azure 区域。
ResourceSubId 字符串 包含资源的 Azure 订阅 ID。
ResourceTenantId 字符串 资源所属的 Azure 租户 ID。
ResourceVnetId 字符串 与资源关联的虚拟网络(VNet)的标识符。
服务 字符串 检测到或使用的服务的名称(例如 HTTP、SSH)。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
SrcCity 字符串 源 IP 所在的城市。
SrcCountry 字符串 源 IP 所在的国家/地区。
SrcIP 字符串 源的 IP 地址。
SrcIsWellKnown 布尔 指示源是否为已知/受信任的实体。
SrcLabel 字符串 分配给源实体的标签或标记。
SrcPort 整数 (int) 源实体使用的端口号。
SrcThreatLevel 字符串 与源 IP 关联的威胁级别(例如低、中、高)。
状态 字符串 见解的当前状态(例如活跃、已解决)。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated datetime 记录记录或事件的时间戳。
TotalReceivedBytes 整数 (int) 在通信流期间收到的字节总数。
TotalSentBytes(总发送字节数) 整数 (int) 在通信流期间发送的总字节数。
类型 字符串 表的名称
UniqueId 字符串 特定见解或事件的唯一标识符。
VEScore real 指示风险级别的漏洞暴露分数。