Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Конфиденциальный список отслеживания Azure Sentinel содержит импортированные данные из CSV-файлов, которые можно использовать для присоединения или фильтрации в качестве условия оповещения или инцидента.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | No |
| Преобразование ingestion-time | No |
| Примеры запросов | Да |
Столбцы
| Column | Type | Описание |
|---|---|---|
| AzureTenantId | строка | Идентификатор клиента AAD, к которому принадлежит эта таблица списка наблюдения. |
| _BilledSize | реальный | Размер записи в байтах |
| CorrelationId | строка | Идентификатор для коррелированных событий. |
| CreatedBy | динамичный | Объект JSON с пользователем, создавшим элемент списка отслеживания или списка наблюдения, включая идентификатор объекта, электронную почту и имя. |
| ВремяСозданияUTC | дата и время | Время (UTC) при первом создании элемента списка наблюдения или списка наблюдения. |
| DefaultDuration | строка | Объект JSON, описывающий длительность жизни по умолчанию, которую наследует каждый элемент списка отслеживания при создании. Длительность по умолчанию имеет этот формат: P(n)Y(n)M(n)DT(n)H(n)M(n)S, где P, Y, M, DT, H, M и S являются инвариантными. Например, P3Y6M4DT12H30M9S представляет длительность трех лет, шесть месяцев, четыре дня, двенадцать часов, тридцать минут и девять секунд. |
| _DTItemId | строка | Уникальный идентификатор списка наблюдения или элемента списка наблюдения. Например, список наблюдения "RiskyUsers" может содержать элемент списка наблюдения "Name:John Doe; email:[email protected]'. Элемент списка наблюдения имеет уникальный идентификатор и принадлежит списку наблюдения. Идентифицировать содержащий список наблюдения можно с помощью 'WatchlistId'. |
| _DTItemStatus | строка | Был ли список наблюдения или его элемент создан, обновлен или удален пользователем. Например, список отслеживания «RiskyUsers» может содержать элемент списка наблюдения „Name: John Doe; email:[email protected]“. Если добавлен список отслеживания, статус будет «Создан». Если имя списка отслеживания будет обновлено с "RiskyUsers" до "RiskyEmployees", статус будет изменён на "Обновлено". |
| _DTItemType | строка | Различает список наблюдения и элемент списка наблюдения. Например, список наблюдения "RiskyUsers" может содержать элемент списка наблюдения "Name:John Doe; email:[email protected]'. Тип элемента списка наблюдения будет принадлежать типу списка наблюдения, а содержащий список наблюдения можно определить с помощью "WatchlistId". |
| _DTTimestamp | дата и время | Время (UTC) при создании события. |
| EntityMapping | динамичный | Объект JSON с сопоставлением сущностей Azure Sentinel с входными столбцами. |
| _IsBillable | строка | Указывает, подлежит ли использование данных оплате. Если _IsBillable false прием не взимается в учетную запись Azure. |
| ПоследнееОбновлениеВремяUTC | дата и время | Время (UTC) последнего обновления списка наблюдения или его элемента. |
| Примечания. | строка | Заметки, предоставленные пользователем. |
| Provider | строка | Поставщик входных данных списка наблюдения. |
| ПоисковыйКлюч | строка | SearchKey используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле для присоединения к другим таблицам событий по IP-адресу. |
| Источник | строка | Источник входных данных списка наблюдения. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Теги | строка | Массив JSON тегов, предоставляемых пользователем. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Метка времени (UTC) того момента, когда событие было создано. |
| timeToLive | дата и время | Время жизни для записи списка наблюдения, выраженное как дата и время дня (например, 2020-08-20T17:00:00.9618037Z). Исходное значение наследуется от длительности по умолчанию списка наблюдения. Если TimeToLive проходит, запись считается удаленной. Длительность записи может быть расширена в любое время, обновив значение TimeToLive. |
| Type | строка | Имя таблицы. |
| ОбновленоBy | динамический | Объект JSON с пользователем, который последний раз обновил список отслеживания или элемент списка наблюдения, включая идентификатор объекта, электронную почту и имя. |
| WatchlistAlias | строка | Уникальная строка для ссылки на список наблюдения. |
| КатегорияСпискаНаблюдения | строка | Категория "Список наблюдения", предоставляемая пользователем. |
| Идентификатор списка наблюдения | строка | Имя ресурса списка наблюдения в Resource Manager. |
| Элемент списка наблюдения | динамичный | Объект JSON с парами "ключ-значение" из источника данных списка наблюдения. |
| WatchlistItemId | строка | Уникальный идентификатор элемента в списке наблюдения. |
| Название списка наблюдения | строка | Отображаемое имя списка наблюдения. |