Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица аналитики угроз, содержащая индикаторы STIX.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/информация об угрозах |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование времени поглощения | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| ДополнительныеПоля | динамический | Поля, специфичные для типа, добавляемые Sentinel. Содержит уровень TLP: белый, зеленый, янтарный или красный. |
| AzureTenantId | строка | Арендатор, отправивший индикатор. |
| _Размер выставленного счета | реальный | Размер записи в байтах |
| Достоверность | INT | Уверенность создателя в правильности своих данных. Значение должно быть числом в диапазоне от 0 до 100. |
| Создано | дата и время | Дата создания индикатора. |
| Данные | динамический | Все свойства объекта, отформатированные в соответствии со спецификацией STIX (https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf). |
| Идентификатор | строка | Значение, однозначно определяющее объект STIX индикатора. Это значение можно использовать с ПОМОЩЬЮ API Sentinel. |
| Активен | булевая переменная (bool) | Значение, указывающее, является ли индикатор активным и допустимым для обнаружения. |
| _ЯвляетсяОплачиваемым | строка | Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false, за прием не будет взиматься плата на вашей учетной записи Azure. |
| Удалено | булевая переменная (bool) | Значение, указывающее, были ли удалены данные из Sentinel или нет. |
| МетодПоследнегоОбновления | строка | Компонент, который последний раз обновил индикатор. |
| Изменено | дата и время | Дата изменения индикатора. |
| НаблюдаемыйКлюч | строка | Вся левая сторона сравнения равенства по шаблону. |
| ObservableValue | строка | Вся правая сторона сравнения на равенство в шаблоне. |
| Расписание | строка | Шаблон обнаружения для этого индикатора МОЖЕТ быть выражен как шаблон STIX. |
| _ИдентификаторРесурса | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| Отозвано | булевая переменная (bool) | Значение, указывающее, был ли отозван индикатор. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows с прямым подключением или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| _SubscriptionId (идентификатор подписки) | строка | Уникальный идентификатор подписки, с которой связана запись |
| Теги | строка | Sentinel определил теги для индикатора. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Время генерации | дата и время | Время приема индикатора. |
| Тип | строка | Имя таблицы. |
| Действительно с | дата и время | Время, начиная с которого этот индикатор считается допустимым индикатором поведения, с которым он связан или которое он представляет. |
| Действителен до | дата и время | Время, когда этот индикатор больше не должен считаться допустимым показателем поведения, к которому он относится или которое представляет. |
| WorkspaceId | строка | Рабочая область, отправившая индикатор. |