مشاركة عبر

AlertEvidence

  • مقالة

يتضمن الملفات أو عناوين IP أو عناوين URL أو المستخدمين أو الأجهزة المقترنة بالتنبيهات.

سمات الجدول

السمة القيمة‬
أنواع الموارد -
الفئات الأمان
الحلول SecurityInsights
السجل الأساسي لا
تحويل وقت الاستيعاب ‏‏نعم‬
نماذج الاستعلامات نعم

الأعمدة

Column نوع ‏‏الوصف
AccountDomain سلسلة مجال الحساب.
AccountName سلسلة اسم المستخدم للحساب.
AccountObjectId سلسلة معرف فريد للحساب في Azure Active Directory.
معرف الحساب سلسلة معرف الأمان (SID) للحساب.
AccountUpn سلسلة اسم المستخدم الأساسي (UPN) للحساب.
AdditionalFields ديناميكي معلومات إضافية حول الحدث بتنسيق صفيف JSON.
معرف التنبيه سلسلة معرف فريد للتنبيه.
طلب سلسلة التطبيق الذي نفذ الإجراء المسجل.
معرف التطبيق العدد الصحيح معرف فريد للتطبيق.
AttackTechniques سلسلة تقنيات MITRE ATT CK المقترنة بالنشاط الذي قام بتشغيل التنبيه.
_BilledSize real حجم السجل بالبايت
الفئات سلسلة قائمة الفئات التي تنتمي إليها المعلومات، بتنسيق صفيف JSON.
مصدر الكشف سلسلة تقنية الكشف أو المستشعر الذي حدد المكون أو النشاط الملحوظ.
DeviceId سلسلة معرف فريد للجهاز في الخدمة.
DeviceName سلسلة اسم المجال المؤهل بالكامل (FQDN) للجهاز.
عنوان البريد الإلكتروني سلسلة موضوع البريد الإلكتروني.
EntityType سلسلة نوع العنصر، مثل ملف أو عملية أو جهاز أو مستخدم.
اتجاه الدليل سلسلة يشير إلى ما إذا كان الكيان هو مصدر اتصال الشبكة أو وجهةه.
EvidenceRole سلسلة كيفية مشاركة الكيان في تنبيه، ما يشير إلى ما إذا كان متأثرا أو مرتبطا فقط.
FileName سلسلة اسم الملف الذي تم تطبيق الإجراء المسجل عليه.
FileSize طويل حجم الملف بالبايت.
مسار المجلد سلسلة المجلد الذي يحتوي على الملف الذي تم تطبيق الإجراء المسجل عليه.
_IsBillable سلسلة تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك
LocalIP سلسلة عنوان IP المعين للجهاز المحلي المستخدم أثناء الاتصال.
NetworkMessageId سلسلة معرف فريد للبريد الإلكتروني، تم إنشاؤه بواسطة Office 365.
OAuthApplicationId سلسلة المعرف الفريد لتطبيق OAuth التابع لجهة خارجية.
ProcessCommandLine سلسلة سطر الأوامر المستخدم لإنشاء العملية الجديدة.
RegistryKey سلسلة مفتاح التسجيل الذي تم تطبيق الإجراء المسجل عليه.
RegistryValueData سلسلة بيانات قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها.
RegistryValueName سلسلة اسم قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها.
RemoteIP سلسلة عنوان IP الذي كان يتم الاتصال به.
RemoteUrl سلسلة URL أو اسم المجال المؤهل بالكامل (FQDN) الذي كان يتم الاتصال به.
مصدر الخدمة سلسلة المنتج أو الخدمة التي قدمت معلومات التنبيه.
SHA1 سلسلة SHA-1 للملف الذي تم تطبيق الإجراء المسجل عليه.
SHA256 سلسلة SHA-256 للملف الذي تم تطبيق الإجراء المسجل عليه. عادة ما لا يتم ملء هذا الحقل باستخدام عمود SHA1 عند توفره.
نظام المصدر سلسلة نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure
TenantId سلسلة معرف مساحة عمل Log Analytics
ThreatFamily سلسلة عائلة البرامج الضارة التي تم تصنيف الملف أو العملية المشبوهة أو الضارة ضمنها.
TimeGenerated datetime التاريخ والوقت (UTC) عند إنشاء السجل.
‏‫المسمى الوظيفي سلسلة عنوان التنبيه.
نوع سلسلة اسم الجدول