你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
威胁情报指示器
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 行动 | 字符串 | 要对指示器匹配执行的操作。 |
| Active | 布尔 | 指明指示器是否处于活动状态。 |
| 活动组名称 | 字符串 | 与指标关联的活动组。 |
| 附加信息 | 字符串 | 指示器的自由文本附加信息。 |
| _BilledSize | 实数 | 记录大小(字节) |
| 置信分数 | 实数 | 指示器的置信度评级,从 0 到 100。 |
| 说明 | 字符串 | 指示器的说明。 |
| DiamondModel | 字符串 | 指示器的钻石模型值,对手、功能、基础结构或牺牲品之一。 |
| 域名 | 字符串 | 域名可观测项。 |
| 电子邮件编码 | 字符串 | 可观察的电子邮件编码。 |
| 电子邮件语言 | 字符串 | 可观察的电子邮件语言。 |
| 电子邮件收件人 | 字符串 | 可观测的电子邮件收件人。 |
| 电子邮件发件人地址 | 字符串 | 可观测的电子邮件发件人地址。 |
| 电子邮件发送者名称 | 字符串 | 电子邮件发件人姓名可观测项。 |
| 电子邮件来源域名 | 字符串 | 可观测的电子邮件源域。 |
| 电子邮件源IP地址 | 字符串 | 可观测的电子邮件源 IP 地址。 |
| 电子邮件主题 | 字符串 | 可观测的电子邮件主题。 |
| EmailXMailer | 字符串 | 电子邮件 X-Mailer 可观测项。 |
| 到期日期时间 | 日期/时间 | 指示器到期时间。 |
| ExternalIndicatorId | 字符串 | 来自提交系统的指示器的标识符。 |
| 文件编译日期时间 | 日期/时间 | 可观测的文件编译时间。 |
| 文件创建日期时间 | 日期/时间 | 可观测的文件创建时间。 |
| 文件哈希类型 | 字符串 | 可观测的文件哈希类型。 |
| 文件哈希值 | 字符串 | 可观测的文件哈希值。 |
| FileMutexName | 字符串 | 文件互斥体名称可观测项。 |
| 文件名 | 字符串 | 文件名可观测项。 |
| 文件打包器 | 字符串 | 可观测的文件打包器。 |
| FilePath | 字符串 | 可观测的文件路径。 |
| 文件大小 | 整数 | 可观测的文件大小。 |
| 文件类型 | 字符串 | 可观测的文件类型。 |
| 指标ID | 字符串 | 指示器的唯一标识符,由接收系统计算。 |
| 指标提供者 | 字符串 | 提供指示器的实体名称。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KillChainActions | 布尔 | 指示是否设置了杀伤链值“actions”。 |
| KillChainC2 | 布尔 | 指明是否设置了杀伤链值“C2”。 |
| KillChainDelivery | 布尔 | 指示是否设置了杀伤链值“delivery”。 |
| KillChainExploitation | 布尔 | 指示是否设置了杀伤链值“exploitation”。 |
| KillChainReconnaissance | 布尔 | 指示是否设置了杀伤链值“reconniassance”。 |
| KillChainWeaponization | 布尔 | 指示是否设置了杀伤链值“weaponization”。 |
| KnownFalsePositives | 字符串 | 文本描述了指示器可能导致误报的情况。 |
| MalwareNames | 字符串 | 与指示器关联的恶意软件名称列表 |
| NetworkCidrBlock | 字符串 | 网络 CIDR 块可观测项。 |
| NetworkDestinationAsn | 整数 | 网络目标自治系统编号可观测项。 |
| NetworkDestinationCidrBlock | 字符串 | 网络目标 CIDR 块可观测项。 |
| NetworkDestinationIP | 字符串 | 网络目标 IP 地址。 |
| 网络目标端口 | 整数 | 可观测的网络目标端口。 |
| NetworkIP | 字符串 | 可观测的网络 IP 地址。 |
| 网络端口 | 整数 | 可观测的网络端口。 |
| 网络协议 | 整数 | 可观测的网络协议。 |
| NetworkSourceAsn | 整数 | 网络源自治系统编号可观测项。 |
| NetworkSourceCidrBlock | 字符串 | 网络源 CIDR 块可观测项。 |
| NetworkSourceIP | 字符串 | 可观测的网络源 IP 地址。 |
| NetworkSourcePort | 整数 | 可观测的网络源端口。 |
| PassiveOnly | 布尔 | 指明指示器是否应触发对用户可见的事件。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 标记 | 字符串 | 自由格式标记。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| ThreatSeverity | 整数 | 指示器严重性分级从 0 到 5。 数值越大,表示严重程度越高。 |
| 威胁类型 | 字符串 | 指示器的威胁类型。 |
| TimeGenerated | 日期/时间 | 指示器引入时间。 |
| 交通灯协议级别 | 字符串 | 行业标准交通灯协议级别,白色、绿色、琥珀色或红色之一。 |
| 类型 | 字符串 | 表的名称 |
| URL | 字符串 | 可观测的 URL。 |
| UserAgent | 字符串 | 可观测的用户代理。 |