通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

网络访问警报

此表是标识和网络访问的一部分,其中包含网络访问警报。 这些警报可用于了解网络访问的状态。

表属性

属性 价值
资源类型 -
类别 安全性、网络、IT & 管理工具
解决方案 日志管理
基本日志 是的
引入时间转换
示例查询 -

类型 描述
警报类型 字符串 警报的类型名称。 同一类型的警报应具有相同的名称。 此字段是一个键式字符串,表示警报的类型而不是警报实例。 来自同一检测逻辑/分析的所有警报实例都应具有相同的警报类型值。
_BilledSize(账单大小) 实数 记录大小(字节)
组件名称 字符串 生成警报的产品内组件的名称。 这是一个可选字段,仅当外部最终用户知道产品内的特定组件时才可能进行填充。 对于提供不同类型的 SKU/捆绑包的产品,此字段可以存放 SKU 或捆绑包名称。
CreationDateTime 日期/时间 生成事件的日期和时间 (UTC)。
描述 字符串 从连接或会话的源发送到目标的字节数。
DetectionTechnology 字符串 用于保存警报威胁检测技术的可选字段。
显示名称 字符串 警报的显示名称,此值按原样或与其他参数一起向用户显示。
扩展属性 动态的 将向用户呈现的一组字段。 提供程序可以在此处发送任何应属于警报的自定义字段。
FirstActivityDateTime 日期/时间 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
ID 字符串 每个网络访问警报的唯一标识符。
_IsBillable 字符串 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
IsPreview 布尔 当警报处于公共预览状态且尚未达到正式发布标准时,IsPreview 将定义为 true。 默认情况下,此值为 false。
上次活动日期时间 日期/时间 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 此字段根据 ISO8601 序列化为字符串,包括 UTC 时区信息。
`PolicyId` 字符串 与生成警报的网络访问流量关联的策略 ID。
ProductName 字符串 发布此警报的产品的名称,即 Azure 安全中心、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等。
相关资源 动态的 与警报相关的实体的列表。 此列表可以包含不同类型的实体。 实体类型可以是在“实体”部分中定义的任意类型。 还可以发送不在下面列表中的实体,但是不能保证对其进行处理(警报不会在产生新类型的实体时失败)。
严重程度 字符串 提供程序报告的警报的严重性。 可能的值:信息、低、中、高。
SourceSystem 字符串 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure
SubTechniques 字符串 可选字段,指定警报背后与杀伤链相关的子技术。 应使用此 ID 在此列表中添加每个子技术,并且“意图”字段中应至少有一个匹配的意图。
方法 字符串 可选字段,指定警报背后与杀伤链相关的技术。 应使用此 ID 在此列表中添加每个技术,并且“意图”字段中应至少有一个匹配的意图。 此字段的生成(技术 ID 的预期格式和与意图值的匹配)遵循 MITRE att@ck 企业矩阵模型(在新窗口或标签页中打开)。关于构成每个意图的不同技术的进一步指导,可以在 MITRE 的文档中找到。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 生成事件的日期和时间 (UTC)。
类型 字符串 表的名称
供应商名称 字符串 引发警报的供应商的名称,此值按原样向用户显示。 对于大多数内部安全产品警报,应将其设置为“Microsoft”。