Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Indicatore di intelligence sulle minacce
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | NO |
| Trasformazione durante l'ingestione | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Azione | string | Azione da eseguire in caso di corrispondenza dell'indicatore. |
| Attivo | bool | Indica se l'indicatore è attivo. |
| ActivityGroupNames | string | Gruppi di attività associati all'indicatore. |
| Informazioni aggiuntive | string | Informazioni aggiuntive di testo libero per l'indicatore. |
| _BilledSize | real | Dimensioni del record in byte |
| Punteggio di Fiducia | real | Classificazione di attendibilità dell'indicatore, da 0 a 100. |
| Descrizione | string | Descrizione dell'indicatore. |
| DiamondModel | string | Valore del modello a diamante per l'indicatore, uno tra adversary, capability, infrastructure e victim. |
| Nome di dominio | string | Nome di dominio osservabile. |
| EmailEncoding | string | Codifica di posta elettronica osservabile. |
| EmailLanguage | string | Lingua di posta elettronica osservabile. |
| EmailRecipient | string | Destinatario del messaggio di posta elettronica osservabile. |
| EmailSenderAddress | string | Indirizzo del mittente di posta elettronica osservabile. |
| EmailSenderName | string | Nome del mittente di posta elettronica osservabile. |
| EmailSourceDomain | string | Dominio di origine del messaggio di posta elettronica osservabile. |
| EmailSourceIpAddress | string | Indirizzo IP dell'origine di posta elettronica osservabile. |
| Oggetto dell'Email | string | Oggetto del messaggio di posta elettronica osservabile. |
| EmailXMailer | string | X-Mailer del messaggio di posta elettronica osservabile. |
| ExpirationDateTime | data e ora | Ora di scadenza dell'indicatore. |
| ExternalIndicatorId | string | Identificatore dell'indicatore fornito dal sistema che ha eseguito l'invio. |
| FileCompileDateTime | data e ora | Tempo di compilazione del file osservabile. |
| FileCreatedDateTime | data e ora | Ora di creazione del file osservabile. |
| FileHashType | string | Tipo hash del file osservabile. |
| FileHashValue | string | Il valore hash del file è osservabile. |
| FileMutexName | string | Nome mutex del file osservabile. |
| Nome del file | string | Nome file osservabile. |
| FilePacker | string | File packer osservabile. |
| FilePath | string | Percorso del file osservabile. |
| Dimensione del file | INT | Dimensioni del file osservabili. |
| Tipo di File | string | Tipo di file osservabile. |
| IndicatorId | string | Identificatore univoco per l'indicatore, calcolato dal sistema di ricezione. |
| FornitoreDiIndicatori | string | Nome dell'entità che ha fornito l'indicatore. |
| _IsBillable | string | Specifica se l'acquisizione dei dati è fatturabile. Quando _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| KillChainActions | bool | Indica se il valore della kill chain "actions" è impostato. |
| KillChainC2 | bool | Indica se il valore della kill chain "C2" è impostato. |
| KillChainDelivery | bool | Indica se il valore della kill chain "delivery" è impostato. |
| KillChainExploitation | bool | Indica se il valore della kill chain "exploitation" è impostato. |
| KillChainReconnaissance | bool | Indica se il valore della kill chain "reconnaissance" è impostato. |
| KillChainWeaponization | bool | Indica se il valore della kill chain "weaponization" è impostato. |
| KnownFalsePositives | string | Testo che descrive le situazioni in cui l'indicatore può causare falsi positivi. |
| MalwareNames | string | Elenco dei nomi malware associati all'indicatore |
| NetworkCidrBlock | string | Blocco CIDR di rete osservabile. |
| NetworkDestinationAsn | INT | Numero del sistema autonomo della destinazione di rete osservabile. |
| NetworkDestinationCidrBlock | string | Blocco CIDR della destinazione di rete osservabile. |
| NetworkDestinationIP | string | Indirizzo IP di destinazione di rete. |
| NetworkDestinationPort | int | Porta di destinazione di rete osservabile. |
| NetworkIP | string | Indirizzo IP di rete osservabile. |
| Porta di rete | INT | Porta di rete osservabile. |
| protocollo di rete | INT | Il protocollo di rete osservabile. |
| NetworkSourceAsn | INT | Numero del sistema autonomo della fonte di rete osservabile. |
| NetworkSourceCidrBlock | string | Blocco CIDR della fonte di rete osservabile. |
| NetworkSourceIP | string | Indirizzo IP di origine di rete osservabile. |
| NetworkSourcePort | int | Porta di origine di rete osservabile. |
| PassiveOnly | bool | Indica se l'indicatore deve attivare un evento visibile a un utente. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, o connessione diretta oppure Operations Manager, Linux per tutti gli agenti Linux, o Azure per Diagnostica di Azure |
| Tag | string | Tag in formato libero. |
| ID dell'inquilino | string | L'ID dell'area di lavoro Log Analytics |
| ThreatSeverity | INT | Valutazione della gravità dell'indicatore da 0 a 5. Il valore più alto indica una gravità maggiore. |
| Tipo di Minaccia | stringa | Tipo di minaccia dell'indicatore. |
| TimeGenerated | data e ora | Ora di inserimento dell'indicatore. |
| TrafficLightProtocolLevel | string | Livello del Traffic Light Protocol standard del settore, uno tra white, green, amber e red. |
| Tipo | string | Nome della tabella |
| URL | string | URL osservabile. |
| "UserAgent" | string | L'agente utente osservabile. |