Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Включает файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениями.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование времени ввода | Да |
| Примеры запросов | Да |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Домен учетной записи | строка | Домен учетной записи. |
| Имя аккаунта | строка | Имя пользователя учетной записи. |
| АккаунтОбъектId | строка | Уникальный идентификатор учетной записи в Azure Active Directory. |
| AccountSid (Идентификатор аккаунта) | строка | Идентификатор безопасности учетной записи. |
| AccountUpn | строка | Основное имя пользователя (UPN) учетной записи. |
| ДополнительныеПоля | динамичный | Дополнительные сведения о событии в формате массива JSON. |
| AlertId | строка | Уникальный идентификатор оповещения. |
| Приложение | строка | Приложение, выполняющее записанное действие. |
| ApplicationId | INT | Уникальный идентификатор приложения. |
| Техники атак | строка | Методы MITRE ATT&CK, связанные с активностью, вызвавшей оповещение. |
| _BilledSize (Размер счета) | настоящий | Размер записи в байтах |
| Категории | строка | Список категорий, к которым принадлежит информация в формате массива JSON. |
| CloudPlatform | строка | Облачная платформа, к которой принадлежит ресурс, может быть Azure, Amazon Web Services или Google Cloud Platform. |
| CloudResource | строка | Имя облачного ресурса. |
| Источник обнаружения | строка | Технология обнаружения или датчик, которые определили важный компонент или действие. |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| Имя устройства | строка | Полностью определённое доменное имя компьютера. |
| Тема письма | строка | Тема сообщения электронной почты. |
| ТипСущности | строка | Тип объекта, например файла, процесса, устройства или пользователя. |
| EvidenceDirection | строка | Указывает, является ли сущность источником или назначением сетевого подключения. |
| Роль Доказательства | строка | Как сущность участвует в оповещении, указывая, влияет ли она или просто связана. |
| ИмяФайла | строка | Имя файла, к которому было применено записанное действие. |
| Размер файла | длинный | Размер файла в байтах. |
| Путь к папке | строка | Папка, содержащая файл, к которому применено записанное действие. |
| _ПодлежитУчету | строка | Указывается, подлежит ли поглощение данных оплате. Если _IsBillable false, то внесение не начисляется на вашу учетную запись Azure. |
| локальный IP-адрес | строка | IP-адрес, назначенный локальному устройству, используемому во время связи. |
| NetworkMessageId (ИД сетевого сообщения) | строка | Уникальный идентификатор электронной почты, созданный Office 365. |
| идентификатор приложения OAuth | строка | Уникальный идентификатор стороннего приложения OAuth. |
| ProcessCommandLine | строка | Командная строка, используемая для создания нового процесса. |
| Ключ реестра | строка | Раздел реестра, к которому применено записанное действие. |
| ДанныеЗначенияРеестра | строка | Данные значения реестра, к которому применено записанное действие. |
| ИмяЗначенияРеестра | строка | Имя значения реестра, к которому применено записанное действие. |
| Удаленный IP-адрес | строка | IP-адрес, к которому подключено подключение. |
| RemoteUrl | строка | URL-адрес или полное доменное имя (FQDN), к которому было выполнено подключение. |
| ServiceSource | строка | Продукт или служба, предоставляющие сведения об оповещении. |
| Степень серьезности | строка | Указывает потенциальное влияние (высокий, средний или низкий) индикатора угрозы или действия нарушения, определяемого оповещением. |
| SHA1 | строка | SHA-1 файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому применено записанное действие. Обычно это поле не заполняется — используйте столбец SHA1, если он доступен. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows с прямым подключением или Operations Manager, Linux для всех агентов Linux, или Azure для диагностики Azure. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| УгрозаСемья | строка | Семейство вредоносных программ, в соответствии с которым был классифицирован подозрительный или вредоносный файл или процесс. |
| Время генерации | дата и время | Дата и время (UTC) при создании записи. |
| Заголовок | строка | Заголовок оповещения. |
| Тип | строка | Имя таблицы. |