Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här tabellen är en del av Identitet och Nätverksåtkomst, som innehåller aviseringar om nätverksåtkomst. Dessa aviseringar kan användas för att känna till tillståndet för din nätverksåtkomst.
Tabellattributen
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhets-, nätverks-, IT- och hanteringsverktyg |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Omvandling vid inmatningstidpunkt | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Varningstyp | sträng | Typnamnet på aviseringen. Aviseringar av samma typ bör ha samma namn. Det här fältet är en nyckelsträng som representerar typen av larm och inte en larminstans. Alla aviseringsinstanser från samma identifieringslogik/analys bör ha samma värde för aviseringstyp. |
| _FaktureradStorlek | verklig | Datapostens storlek i byte |
| Komponentnamn | sträng | Namnet på en komponent i produkten som genererade aviseringen. Det här är ett valfritt fält som endast kan fyllas i för en produkt där den externa slutanvändaren känner till specifika komponenter i en produkt. För produkter som erbjuder olika typer av SKU/paket kan det här fältet innehålla SKU:n eller paketnamnet. |
| Skapelsedatum och tid | datumtid | Datum och tid (UTC) som händelsen genererades. |
| Beskrivning | sträng | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
| Detektionsteknologi | sträng | Valfritt fält för att lagra tekniken för identifiering av aviseringshot. |
| Visningsnamn | sträng | Visningsnamnet för aviseringen, det här värdet visas för användare antingen som de är eller med ytterligare parametrar. |
| UtökadeEgenskaper | dynamisk | En påse med fält som visas för användaren. Leverantörer kan skicka här alla anpassade fält som ska ingå i aviseringen. |
| Datum och tid för första aktivitet | datumtid | Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen). Fältet serialiseras en sträng enligt ISO8601, inklusive UTC-tidszonsinformation. |
| Id | sträng | En unik identifierare för varje nätverksåtkomstavisering. |
| _ärFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen på ditt Azure-konto |
| IsPreview | Bool | IsPreview definieras som sant där aviseringen är i offentligt förhandsgranskningstillstånd och ännu inte är berättigad till allmän tillgänglighet. Som standard är värdet falskt. |
| SenasteAktivitetsDatumTid | datumtid | Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen). Fältet serialiseras en sträng enligt ISO8601, inklusive UTC-tidszonsinformation. |
| Policynummer | sträng | Policy-Id:t som är associerat med nätverksåtkomsttrafiken som genererade varningen. |
| ProductName | sträng | Namnet på den produkt som publicerade den här aviseringen, t.ex. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS osv. |
| RelateradeResurser | dynamisk | En lista över entiteter som är relaterade till aviseringen. Den här listan kan innehålla en blandning av entiteter av olika typer. Entitetstypen kan vara någon av de typer som definieras i avsnittet Entiteter. Entiteter som inte finns i listan nedan kan också skickas, men det är inte garanterat att de bearbetas (aviseringen kommer inte att störa produktionen med nya typer av entiteter). |
| Allvarlighet | sträng | Allvarlighetsgraden för aviseringen så som den rapporteras av leverantören. Möjliga värden: Information, Låg, Medel, Hög. |
| SourceSystem | sträng | Typen av agent som användes för att samla in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SubTechniques | sträng | Valfritt fält som anger de kill chain-relaterade underteknikerna bakom aviseringen. Varje underteknik bör läggas till i den här listan med hjälp av dess ID och den bör ha minst en matchande avsikt i fältet Avsikt. |
| Metoder | sträng | Valfritt fält som anger de kill chain-relaterade teknikerna bakom aviseringen. Varje teknik bör läggas till i den här listan med hjälp av dess ID och den bör ha minst en matchande avsikt i fältet Avsikt. Framställningen av detta fält (det förväntade formatet för teknik-ID:t och matchningen mot intentvärdena) följer MITRE att@ck enterprise-matris (Öppnas i nytt fönster eller ny flik), och ytterligare vägledning om de olika tekniker som utgör varje avsikt kan hittas i MITRE:s dokumentation. |
| Hyresgäst-ID | sträng | ID för Log Analytics-arbetsyta |
| Tidpunkt för generering | datumtid | Datum och tid (UTC) som händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
| VendorName | sträng | Namnet på leverantören som utlöste aviseringen, det här värdet visas för användarna som det är. För de flesta aviseringar om interna säkerhetsprodukter bör det anges som "Microsoft". |