Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Innehåller filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Transformering vid tidpunkten för dataingestering | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Kontodomän | sträng | Domän för kontot. |
| Kontonamn | sträng | Användarnamn för kontot. |
| Kontobjekt-ID | sträng | Unik identifierare för kontot i Azure Active Directory. |
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
| YtterligareFält | dynamisk | Ytterligare information om händelsen i JSON-matrisformat. |
| AlertId | sträng | Unik identifierare för aviseringen. |
| Ansökan | sträng | Program som utförde den inspelade åtgärden. |
| ApplicationId | heltal | Unik identifierare för programmet. |
| AttackTechniques | sträng | MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste varningen. |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| Kategorier | sträng | Lista över kategorier som informationen tillhör, i JSON-matrisformat. |
| CloudPlatform | sträng | Den molnplattform som resursen tillhör kan vara Azure, Amazon Web Services eller Google Cloud Platform. |
| CloudResource | sträng | Namn på molnresurs. |
| Detektionskälla | sträng | Identifieringsteknik eller sensor som identifierade den anmärkningsvärda komponenten eller aktiviteten. |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | sträng | Fullständigt kvalificerat domännamn (FQDN) för datorn. |
| E-postämne | sträng | Ämne för e-postmeddelandet. |
| Entitetstyp | sträng | Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
| EvidenceDirection | sträng | Anger om entiteten är källan eller målet för en nätverksanslutning. |
| EvidenceRole | sträng | Hur entiteten är involverad i en avisering som anger om den påverkas eller bara är relaterad. |
| Filnamn | sträng | Namnet på filen som den inspelade åtgärden tillämpades på. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | sträng | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| _IsFakturerbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false så debiteras inte inmatningen ditt Azure-konto |
| LokalIP | sträng | IP-adress tilldelad till den lokala enhet som användes under kommunikationen. |
| Nätverksmeddelande-ID | sträng | Unik identifierare för e-postmeddelandet som genereras av Office 365. |
| OAuth-applikations-ID | sträng | Unik identifierare för OAuth-programmet från tredje part. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| Registernyckel | sträng | Registernyckel som den registrerade åtgärden tillämpades på. |
| Registervärdedata | sträng | Data för registervärdet som den registrerade åtgärden tillämpades på. |
| Registervärdenamn | sträng | Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
| Fjärr-IP | sträng | IP-adress som var ansluten till. |
| Fjärr-URL | sträng | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
| ServiceSource | sträng | Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
| Svårighetsgrad | sträng | Anger den potentiella effekten (hög, medel eller låg) av hotindikatorn eller intrångsaktiviteten som identifieras av aviseringen. |
| SHA1 | sträng | SHA-1 av filen som den inspelade åtgärden tillämpades på. |
| SHA256 | sträng | SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet fylls vanligtvis inte i– använd SHA1-kolumnen när det är tillgängligt. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| HyresgästId | sträng | Log Analytics-arbetsyte-ID |
| ThreatFamily | sträng | Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
| Tidpunkt för generering | datumtid | Datum och tid (UTC) när posten genererades. |
| Rubrik | sträng | Aviseringens rubrik. |
| Typ | sträng | Namnet på tabellen |