Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Индикатор аналитики угроз
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование времени приема данных | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Действие | строка | Действие при совпадении индикатора. |
| Активно | булевая переменная (bool) | Указывает, активен ли индикатор. |
| НазванияГруппАктивности | строка | Группы действий, связанные с индикатором. |
| Дополнительная информация | строка | Дополнительная информация в свободной форме для индикатора. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| Оценка Уверенности | реальный | Оценка достоверности индикатора от 0 до 100. |
| Описание | строка | Описание индикатора. |
| DiamondModel | строка | Значение модели алмаза для индикатора, связанного с одним из следующих аспектов: злоумышленник, возможности, инфраструктура или жертва. |
| ИмяДомена | строка | Наблюдаемое доменное имя. |
| Кодировка электронной почты | строка | Наблюдаемое кодирование электронной почты. |
| ЯзыкЭлектроннойПочты | строка | Язык электронной почты, подлежащий наблюдению. |
| Получатель электронной почты | строка | Отслеживаемый получатель электронной почты. |
| АдресОтправителяЭлектроннойПочты | строка | Адрес отправителя электронной почты виден. |
| ИмяОтправителяЭлектроннойПочты | строка | Имя отправителя электронной почты отображается. |
| ДоменИсточникЭлектроннойПочты | строка | Домен-источник электронной почты, подлежащий наблюдению. |
| Электронная почтаИсходныйIpАдрес | строка | IP-адрес источника электронной почты является наблюдаемым. |
| Тема письма | строка | Видимая тема электронной почты. |
| EmailXMailer | строка | Наблюдаемый компонент X-Mailer в электронных письмах. |
| Дата и время истечения срока | дата/время | Время истечения срока действия индикатора. |
| ИдентификаторВнешнегоИндикатора | строка | Идентификатор индикатора от отправки системы. |
| Дата и время компиляции файла | дата/время | Наблюдаемое время компиляции файла. |
| Дата и время создания файла | дата/время | Наблюдаемое время создания файла. |
| ТипХэшаФайла | строка | Наблюдаемый хэш-тип файла. |
| FileHashValue | строка | Наблюдаемое хэш-значение файла. |
| FileMutexName | строка | Имя мьютекса файла, доступное для наблюдения. |
| Имя файла | строка | Имя файла, подлежащее наблюдению. |
| FilePacker | строка | Наблюдаемый сборщик файлов. |
| FilePath | строка | Наблюдаемый путь к файлу. |
| Размер файла | INT | Видимый размер файла. |
| Тип файла | строка | Наблюдаемый тип файла. |
| Идентификатор индикатора | строка | Уникальный идентификатор индикатора, вычисляемый принимающей системой. |
| Поставщик индикаторов | строка | Название сущности, предоставившей индикатор. |
| _ПодлежитУчету | строка | Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false, затраты на обработку не выставляются на ваш счет в Azure. |
| KillChainActions | булевая переменная (bool) | Указывает, установлено ли значение цепочки уничтожения «действия». |
| KillChainC2 | булевая переменная (bool) | Указывает, установлено ли значение «C2» для цепочки атак. |
| КиллЧейнДеливери | булевая переменная (bool) | Указывает, задано ли значение kill chain "доставка". |
| KillChainExploitation | булевая переменная (bool) | Указывает, задано ли значение цепочки убийства "эксплуатация". |
| KillChainReconnaissance | булевая переменная (bool) | Указывает, задано ли значение цепочки kill "reconniassance". |
| Оружейная фаза в цепи уничтожения | булевая переменная (bool) | Указывает, установлено ли значение для этапа "вооружение" в схеме атак. |
| KnownFalsePositives | строка | Текст, описывающий ситуации, когда индикатор может регистрировать ложные срабатывания. |
| Имена вредоносных программ | строка | Список имен вредоносных программ, связанных с индикатором |
| Сетевой CIDR блок | строка | Блок CIDR сети, подлежащий наблюдению. |
| NetworkDestinationAsn | INT | Наблюдаемый номер автономной системы назначения сети. |
| Блок сетевого назначения CIDR | строка | Наблюдаемый блок CIDR назначения сети. |
| IP-адрес назначения сети | строка | IP-адрес назначения сети. |
| NetworkDestinationPort | INT | Порт назначения сети, который можно наблюдать. |
| NetworkIP | строка | Наблюдаемый IP-адрес сети. |
| Сетевой порт | INT | Сетевой порт, подлежащий наблюдению. |
| Сетевой протокол | INT | Наблюдаемый сетевой протокол. |
| NetworkSourceAsn | INT | Номер автономной системы источника сети является наблюдаемым. |
| NetworkSourceCidrBlock | строка | Наблюдаемый блок CIDR сети-источника. |
| NetworkSourceIP | строка | IP-адрес источника сети, который можно наблюдать. |
| NetworkSourcePort | INT | Порт источника сети можно наблюдать. |
| ПассивныйТолько | булевая переменная (bool) | Указывает, должен ли индикатор активировать событие, видимое пользователю. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics |
| Теги | строка | Теги свободного формата. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Степень угрозы | INT | Оценка серьезности индикатора от 0 до 5. Более высокое значение указывает на большую серьезность. |
| Тип угрозы | строка | Тип индикатора угроз. |
| Время генерации | дата/время | Время приема индикатора. |
| Уровень Протокола Светофора | строка | Стандартный уровень протокола TLP, один из белого, зелёного, оранжевого или красного. |
| Тип | строка | Имя таблицы. |
| URL | строка | Наблюдаемый URL-адрес. |
| Пользовательский Агент | строка | Наблюдаемый агент пользователя. |