Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Sentinel Watchlist innehåller importerade data från CSV-filer som kan användas för att kombinera eller filtrera som ett villkor för varning/incident.
Tabellattributen
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Nej |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AzureTenantId | sträng | Den AAD-klientorganisations-ID som den här övervakningslisttabellen tillhör. |
| _FaktureradStorlek | äkta | Poststorleken i byte |
| CorrelationId | sträng | ID:t för korrelerade händelser. |
| SkapadAv | dynamisk | JSON-objektet med användaren som skapade Visningslistan eller Visningslisteobjektet, inklusive: Objekt-ID, e-postadress och namn. |
| SkapadTidUTC | datumtid | Tiden (UTC) när Visningslistan eller ett objekt i Visningslistan först skapades. |
| Standardvaraktighet | sträng | JSON-objektet som beskriver standardlivslängden som varje objekt i en bevakningslista ska ärva vid skapande. Standardvaraktigheten har det här formatet: P(n)Y(n)M(n)DT(n)H(n)M(n)S, där P, Y, M, DT, H, M och S är invarianta. Till exempel representerar P3Y6M4DT12H30M9S en varaktighet på tre år, sex månader, fyra dagar, tolv timmar, trettio minuter och nio sekunder. |
| _DTItemId | sträng | Unikt ID för visningslista eller visningsobjekt. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Ett visningslisteobjekt har ett unikt ID och tillhör en bevakningslista. Den innehållande visningslistan kan identifieras med hjälp av "WatchlistId". |
| _DTArtikelstatus | sträng | Skapades, uppdaterades eller togs watchlistan eller ett watchlistobjekt bort av användaren. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Om en bevakningslista läggs till blir statusen Skapad. Om namnet på bevakningslistan uppdateras från RiskyUsers till RiskyEmployees blir statusen Uppdaterad. |
| _DTItemType | sträng | Skilja mellan en visningslista och ett visningslisteobjekt. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. En bevakningslistaobjekttyp tillhör en typ av bevakningslista och den innehållande bevakningslistan kan identifieras med hjälp av "WatchlistId". |
| _DTTimestamp | datumtid | Tiden (UTC) när händelsen genererades. |
| Entitetsmappning | dynamisk | JSON-objektet med Azure Sentinel-entitetsmappning till indatakolumner. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte ditt Azure-konto för inmatning. |
| SenastUppdateradTidUTC | datumtid | Tiden (UTC) när visningslista eller visningslistans objekt senast uppdaterades. |
| Anteckningar | sträng | Anteckningarna som tillhandahålls av användaren. |
| Leverantör | sträng | Indataprovidern för bevakningslistan. |
| Söknyckel | sträng | SearchKey används för att optimera frågeprestanda när du använder visningslistor för kopplingar till andra data. Du kan till exempel aktivera en kolumn med IP-adresser som det avsedda Fältet SearchKey och sedan använda det här fältet för att ansluta till andra händelsetabeller efter IP-adress. |
| Källa | sträng | Indatakällan för bevakningslistan. |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Taggar | sträng | JSON-matrisen med taggar som tillhandahålls av användaren. |
| Hyresgäst-ID | sträng | ID för Log Analytics-arbetsyta |
| TimeGenerated | datumtid | Tidsstämpeln (UTC) för när händelsen genererades. |
| TimeToLive | datumtid | Livslängd för en watchlist-post, uttryckt som datum och klockslag (t.ex. 2020-08-20T17:00:00.9618037Z). Dess ursprungliga värde ärvs från Bevakningslistans grundläggande varaktighet. Om TimeToLive har passerat anses uppgiften vara borttagen. En posts varaktighet kan förlängas när som helst genom att ändra TimeToLive-värdet. |
| Typ | sträng | Namnet på tabellen |
| UppdateradAv | dynamisk | JSON-objektet med den användare som senast uppdaterade Visningslistan eller ett objekt i Visningslistan, inklusive: Objekt-ID, e-post och namn. |
| BevakningslistaAlias | sträng | Den unika strängen som refererar till bevakningslistan. |
| Bevakningslistkategori | sträng | Kategorin Visningslista som tillhandahålls av användaren. |
| Bevakningslista-ID | sträng | Resursnamnet för Resource Manager Watchlist. |
| Övervakningsobjekt | dynamisk | JSON-objektet med nyckelvärdepar från källan för bevakningslistan. |
| ÖvervakningslistaObjektId | sträng | Unikt ID för visningslistans objekt. |
| Bevakningslisternamn | sträng | Visningsnamnet för bevakningslistan. |