Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица является частью системы управления идентификацией и сетевым доступом, в которую входят оповещения о доступе к сети. Эти оповещения можно использовать для получения сведений о состоянии доступа к сети.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Средства безопасности, сети, ИТ и управления |
| Решения | Управление журналами |
| Базовый журнал | Нет |
| Преобразование времени загрузки данных | Нет |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Тип оповещения | строка | Имя типа оповещения. Оповещения одного типа должны иметь то же имя. Это поле — строка с ключом, представляющая тип оповещения, а не экземпляр оповещения. Все экземпляры оповещения из одной и той же логики обнаружения или аналитики должны иметь одинаковое значение для типа оповещения. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| Имя компонента | строка | Имя компонента внутри продукта, создавшего оповещение. Это необязательное поле, которое может быть заполнено только для продукта, в котором внешний конечный пользователь знает о конкретных компонентах в продукте. Для продуктов, которые предлагают различные типы SKU/Bundles, это поле может содержать номер SKU или имя пакета. |
| ВремяСоздания | дата и время | Дата и время создания события (UTC). |
| Описание | строка | Число байтов, отправленных от источника к месту назначения для соединения или сеанса. |
| Технология Обнаружения | строка | Необязательное поле для хранения технологии обнаружения угроз в оповещениях. |
| Отображаемое имя | строка | Имя уведомления отображается пользователям либо как есть, либо с дополнительными параметрами. |
| Расширенные свойства | динамичный | Набор полей, которые будут представлены пользователю. Поставщики могут отправлять здесь любые настраиваемые поля, которые должны быть частью оповещения. |
| ДатаВремениПервойАктивности | дата и время | Время начала оповещения (время первого события или действия, включенного в оповещение). Поле сериализуется в соответствии с ISO8601, включая сведения о часовом поясе UTC. |
| Идентификатор | строка | Уникальный идентификатор для каждого оповещения сетевого доступа. |
| _ПодлежитУчету | строка | Указывает, является ли прием данных платным. Когда _IsBillable false, передача данных не взимается с вашей учетной записи Azure. |
| IsPreview | булевая переменная (bool) | IsPreview будет определен как true, если оповещение в состоянии общедоступной предварительной версии и пока не подходит для полной версии. По умолчанию значение равно false. |
| LastActivityDateTime (Дата и время последней активности) | дата и время | Время окончания действия оповещения (время последнего события или действия, включенного в оповещение). Поле сериализуется в соответствии с ISO8601, включая сведения о часовом поясе UTC. |
| Идентификатор политики | строка | Идентификатор политики, связанный с трафиком сетевого доступа, который создал оповещение. |
| НаименованиеПродукта | строка | Имя продукта, публикующего это оповещение, т. е. Центр безопасности Azure, Azure ATP, ATP в Microsoft Defender, O365 ATP, MCAS и т. д. |
| Связанные ресурсы | динамичный | Список объектов, связанных с уведомлением. Этот список может содержать комбинацию сущностей различных типов. Сущность может иметь любой из типов, определенных в разделе сущностей. Сущности, которые не находятся в приведенном ниже списке, также могут быть отправлены, однако не гарантируется, что они будут обработаны (оповещение не завершится проверкой с новыми типами сущностей). |
| Серьезность | строка | Серьезность оповещения, сообщаемая поставщиком. Возможные значения: информационные, низкие, средние, высокие. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows для прямого подключения или Operations Manager, Linux для всех агентов Linux или Azure для Azure Diagnostics. |
| SubTechniques | строка | Необязательное поле, указывающее цепочку атаки и связанные подметоды, стоящие за оповещением. Каждая подтехника должна быть добавлена в этот список с помощью её идентификатора и иметь как минимум одно соответствующее намерение в поле "Намерение". |
| Техники | строка | Необязательное поле, указывающее связанные с оповещением методы, связанные с цепочкой убийств. Каждый метод должен быть добавлен в этот список с его идентификатором, и он должен иметь по крайней мере одно соответствующее намерение в поле "Намерение". Проверка этого поля (ожидаемый формат идентификатора техники и сопоставление со значениями намерений) следует модели корпоративной матрицы MITRE ATT&CK (открывается в новом окне или вкладке), а также дополнительные рекомендации по различным техникам, составляющим каждое намерение, можно найти в документации компании MITRE. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Время генерации | дата и время | Дата и время создания события (UTC). |
| Тип | строка | Имя таблицы. |
| ИмяПоставщика | строка | Имя поставщика, который вызвал оповещение, это значение отображается пользователям как есть. Для большинства оповещений о внутренних продуктах безопасности оно должно быть задано как Microsoft. |