Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Динамическая сводка Azure Sentinel предоставляет хранилище данных безопасности для сохранения концентрированных результатов и сводок для охоты, исследования, поиска, обнаружения. Краткое описание и подробные наблюдаемые параметры можно хранить в Log Analytics для дальнейшего анализа и создания отчетов.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | - |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время загрузки данных | Нет |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| AzureTenantId | строка | Идентификатор клиента AAD, к которому принадлежит эта таблица DynamicSummary. |
| _Размер выставленного счета | реальный | Размер записи в байтах |
| CreatedBy | динамичный | Объект JSON с пользователем, создавшим сводку, включая идентификатор объекта, электронную почту и имя. |
| ВремяСозданияUTC | дата и время | Время создания сводки (UTC). |
| ВремяСобытияUTC | дата и время | Время (UTC), когда изначально произошел итоговый элемент. |
| _IsBillable | строка | Указывает, является ли прием данных платным. При значении _IsBillable false прием в учетной записи Azure не учитывается в счет. |
| НаблюдаемыйТип | строка | Наблюдаемые — это состояния или свойства, связанные с работой вычислительных систем, которые помогают в выявлении индикаторов компрометации. Например, логин. |
| ObservableValue | строка | Значение для наблюдаемого типа, например аномальной активности RDP. |
| Упакованное содержимое | динамичный | Объект JSON содержит упакованные столбцы, которые можно создать с помощью KQL pack_all(). |
| Запрос | строка | Это запрос, который использовался для создания результата. |
| Дата окончания запроса | дата и время | События, произошедшие до этого даты и времени, будут включены в результат. |
| ДатаНачалаЗапроса | дата и время | События, произошедшие после этого даты и времени, будут включены в результат. |
| RelationId | строка | Исходный идентификатор источника данных |
| ИмяСвязи | строка | Имя исходного источника данных. |
| Ключ Поиска | строка | SearchKey используется для оптимизации производительности запросов при использовании DynamicSummary для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле для присоединения к другим таблицам событий по IP-адресу. |
| SourceInfo | динамичный | Объект JSON с информацией производителя данных, включая источник, имя, версию. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux или Azure для Azure Diagnostics |
| ТипДанныхРезюме | строка | Этот флаг используется для определения, является ли запись уровневой сводной записью или сводной записью уровня элемента. |
| СводкаDescription | строка | Описание, предоставленное пользователем. |
| SummaryId | строка | Уникальный идентификатор сводки. |
| SummaryItemId | строка | Уникальный идентификатор элемента в сводке. |
| Название сводки | строка | Уникальное в рабочей области отображаемое имя сводки. |
| Сводка статуса | строка | Активный или удаленный. |
| Тактика | динамичный | Тактика MITRE ATT&CK — это то, что злоумышленники пытаются достичь. Например, эксфильтрация. |
| Техники | динамичный | Методы MITRE ATT&CK — это способы, которыми осуществляются эти тактики. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Метка времени (UTC) о том, когда событие было загружено в Azure Monitor. |
| Тип | строка | Имя таблицы. |
| Обновлено кем | динамичный | Объект JSON с пользователем, который обновил сводку, включая идентификатор объекта, электронную почту и имя. |
| Время обновления UTC | дата и время | Время (UTC) при обновлении сводки. |