通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

网络访问警报

此表是标识和网络访问的一部分,其中包含网络访问警报。 这些警报可用于了解网络访问的状态。

表属性

属性 价值
资源类型 -
类别 安全性、网络、IT & 管理工具
解决方案 日志管理
基本日志 是的
引入时间转换
示例查询 -

类型​​ 描述
警报类型 字符串 警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类型而不是警报实例。 来自同一检测逻辑/分析的所有警报实例都应具有相同的警报类型值。
_BilledSize(账单大小) 实数 记录大小(字节)
组件名称 字符串 生成警报的产品内组件的名称。 这是一个可选字段,仅当外部最终用户知道产品内的特定组件时才可能进行填充。 对于提供不同类型的 SKU/捆绑包的产品,此字段可以存放 SKU 或捆绑包名称。
CreationDateTime datetime 生成事件的日期和时间 (UTC)。
描述 字符串 从连接或会话的源发送到目标的字节数。
DetectionTechnology 字符串 用于保存警报威胁检测技术的可选字段。
显示名称 字符串 警报的显示名称,此值按原样或与其他参数一起向用户显示。
扩展属性 动态的 将向用户呈现的一组字段。 提供程序可以在此处发送任何应属于警报的自定义字段。
FirstActivityDateTime datetime 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
ID 字符串 每个网络访问警报的唯一标识符。
_IsBillable 字符串 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsPreview 布尔 当警报处于公共预览状态且尚未达到正式发布标准时,IsPreview 将定义为 true。 默认情况下,此值为 false。
上次活动日期时间 datetime 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
`PolicyId` 字符串 与生成警报的网络访问流量关联的策略 ID。
ProductName 字符串 发布此警报的产品的名称,即 Azure 安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。
相关资源 动态的 与警报相关的实体的列表。 此列表可以包含不同类型的实体。 实体类型可以是在“实体”部分中定义的任意类型。 还可以发送不在下面列表中的实体,但是不能保证对其进行处理(警报不会在产生新类型的实体时失败)。
严重程度 字符串 提供程序报告的警报的严重性。 可能的值:信息、低、中、高。
SourceSystem 字符串 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure
SubTechniques 字符串 可选字段,指定警报背后与杀伤链相关的子技术。 应使用此 ID 在此列表中添加每个子技术,并且“意图”字段中应至少有一个匹配的意图。
方法 字符串 可选字段,指定警报背后与杀伤链相关的技术。 应使用此 ID 在此列表中添加每个技术,并且“意图”字段中应至少有一个匹配的意图。 此字段的生成(技术 ID 的预期格式和与意图值的匹配)遵循 MITRE att@ck 企业矩阵模型(在新窗口或标签页中打开)。关于构成每个意图的不同技术的进一步指导,可以在 MITRE 的文档中找到。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 生成事件的日期和时间 (UTC)。
类型​​ 字符串 表的名称
供应商名称 字符串 引发警报的供应商的名称,此值按原样向用户显示。 对于大多数内部安全产品警报,应将其设置为“Microsoft”。