Bagikan melalui

Kueri untuk tabel AlertEvidence

  • Artikel

Untuk informasi tentang menggunakan kueri ini di portal Azure, lihat tutorial Analitik Log. Untuk REST API, lihat Kueri.

Pemberitahuan yang melibatkan pengguna

Cantumkan 100 pemberitahuan yang melibatkan pengguna tertentu.

let userID = "<inert your AAD user ID>";
let userSid = "<inert your user SID>";
AlertEvidence
| where EntityType == "User" and (AccountObjectId == userID or AccountSid == userSid )
| join AlertInfo on AlertId
| project Timestamp, AlertId, Title, Category , Severity , ServiceSource , DetectionSource , AttackTechniques, AccountObjectId, AccountName, AccountDomain , AccountSid  
| limit 100