Watchlist

  • Artigo

A Lista de Observação do Azure Sentinel contém dados importados de arquivos CSV que podem ser usados para ingressar ou filtrar como uma condição de alerta/incidente.

Atributos da tabela

Atributo Valor
Tipos de recursos -
Categorias Segurança
Soluções SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras Sim

Colunas

Coluna Type Descrição
AzureTenantId string A ID do locatário do AAD à qual essa tabela Watchlist pertence.
_BilledSize real O tamanho do registro em bytes
CorrelationId string A ID de eventos correlacionados.
CreatedBy dinâmico O objeto JSON com o usuário que criou a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome.
CreatedTimeUTC datetime A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi criado pela primeira vez.
Duração padrão string O objeto JSON que descreve a duração padrão de vida que cada item de uma Watchlist deve herdar na criação. A duração padrão tem este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, onde P, Y, M, DT, H, M e S são invariantes. Por exemplo, P3Y6M4DT12H30M9S representa uma duração de três anos, seis meses, quatro dias, doze horas, trinta minutos e nove segundos.
_DTItemId string A ID exclusiva do item da lista de observação ou da lista de observação. Por exemplo, uma lista de páginas vigiadas 'RiskyUsers' pode conter o item da lista de páginas vigiadas 'Nome:John Doe; e-mail:johndoe@contoso.com'. Um item da Lista de Observação tem ID exclusivo e pertence a uma Lista de Observação. A lista de observação que contém pode ser identificada usando o 'WatchlistId'.
_DTItemStatus string A lista de observação ou o item da lista de páginas vigiadas foi criado, atualizado ou excluído pelo usuário. Por exemplo, uma lista de páginas vigiadas 'RiskyUsers' pode conter o item da lista de páginas vigiadas 'Nome:John Doe; e-mail:johndoe@contoso.com'. Se uma lista de observação for adicionada, o status será 'Criado'. Se o nome da lista de páginas vigiadas for atualizado de 'RiskyUsers' para 'RiskyEmployees', o status será 'Atualizado'.
_DTItemType string Faça a distinção entre uma lista de observação e um item da lista de observação. Por exemplo, uma lista de páginas vigiadas 'RiskyUsers' pode conter o item da lista de páginas vigiadas 'Nome:John Doe; e-mail:johndoe@contoso.com'. Um tipo de item Watchlist pertencerá a um tipo Watchlist e a Watchlist que o contém pode ser identificada usando o 'WatchlistId'.
_DTTimestamp datetime A hora (UTC) em que o evento foi gerado.
Mapeamento de Entidade dinâmico O objeto JSON com mapeamento de entidade do Azure Sentinel para colunas de entrada.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure
LastUpdatedTimeUTC datetime A hora (UTC) em que a lista de páginas vigiadas ou o item da lista de páginas vigiadas foi atualizado pela última vez.
Observações string As notas fornecidas pelo usuário.
Provedor string O provedor de entrada da lista de observação.
SearchKey string O SearchKey é usado para otimizar o desempenho da consulta ao usar watchlists para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e use esse campo para ingressar em outras tabelas de eventos por endereço IP.
Origem string A fonte de entrada da lista de observação.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
Marcações string A matriz JSON de marcas fornecidas pelo usuário.
TenantId string A ID do workspace do Log Analytics
TimeGenerated datetime O carimbo de data/hora (UTC) de quando o evento foi gerado.
timeToLive datetime O tempo de vida de um registro da Lista de Observação, expresso como uma data e hora do dia (por exemplo, 2020-08-20T17:00:00.9618037Z). Seu valor original é herdado da duração padrão da lista de observação. Se o TimeToLive for aprovado, o registro será considerado excluído. A duração de um registro pode ser estendida a qualquer momento atualizando o valor TimeToLive.
Type string O nome da tabela
AtualizadoPor dinâmico O objeto JSON com o usuário que atualizou pela última vez a lista de observação ou o item da lista de observação, incluindo: ID do objeto, e-mail e nome.
Lista de observaçãoAlias string A cadeia de caracteres exclusiva que se refere à lista de observação.
Categoria da lista de páginas vigiadas string A categoria Watchlist fornecida pelo usuário.
ID da lista de páginas vigiadas string O nome do recurso Lista de Observação do Resource Manager.
WatchlistItem dinâmico O objeto JSON com pares de chave-valor da origem Watchlist de entrada.
WatchlistItemId string O ID exclusivo do item da lista de observação.
Nome da lista de páginas vigiadas string O nome de exibição da Lista de Observação.