ConfidentialWatchlist

  • Artikel

Azure Sentinel konfidentiell bevakningslista innehåller importerade data från CSV-filer som kan användas för att ansluta eller filtrera som ett aviserings-/incidentvillkor.

Tabellattribut

Attribut Värde
Resurstyper -
Kategorier Säkerhet
Lösningar SecurityInsights
Grundläggande logg Nej
Inmatningstidstransformering Nej
Exempelfrågor Ja

Kolumner

Column Type Beskrivning
AzureTenantId sträng Det AAD-klientorganisations-ID som den här bevakningslisttabellen tillhör.
_BilledSize real Poststorleken i byte
CorrelationId sträng ID:t för korrelerade händelser.
CreatedBy dynamisk JSON-objektet med användaren som skapade objektet Visningslista eller Visningslista, inklusive: Objekt-ID, e-post och namn.
CreatedTimeUTC datetime Tiden (UTC) när objektet Visningslista eller Visningslista först skapades.
DefaultDuration sträng JSON-objektet som beskriver standardvaraktigheten att leva som varje objekt i en bevakningslista ska ärva när det skapas. Standardvaraktigheten har det här formatet: P(n)Y(n)M(n)DT(n)H(n)M(n)S, där P, Y, M, DT, H, M och S är invarianta. Till exempel representerar P3Y6M4DT12H30M9S en varaktighet på tre år, sex månader, fyra dagar, tolv timmar, trettio minuter och nio sekunder.
_DTItemId sträng Unikt ID för visningslista eller visningslista. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Ett visningslisteobjekt har ett unikt ID och tillhör en bevakningslista. Den innehållande visningslistan kan identifieras med hjälp av "WatchlistId".
_DTItemStatus sträng Skapades, uppdaterades eller togs objektet Visningslista eller Visningslista bort av användaren. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. Om en bevakningslista läggs till blir statusen Skapad. Om namnet på bevakningslistan uppdateras från RiskyUsers till RiskyEmployees blir statusen Uppdaterad.
_DTItemType sträng Skilja mellan en visningslista och ett visningslisteobjekt. Till exempel kan en visningslista "RiskyUsers" innehålla visningslisteobjektet "Name:John Doe; e-post:johndoe@contoso.com'. En typ av visningslista tillhör en typ av visningslista och den innehållande visningslistan kan identifieras med hjälp av "WatchlistId".
_DTTimestamp datetime Tiden (UTC) när händelsen genererades.
EntityMapping dynamisk JSON-objektet med Azure Sentinel-entitetsmappning till indatakolumner.
_IsBillable sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
LastUpdatedTimeUTC datetime Tiden (UTC) när visningslista eller visningslista senast uppdaterades.
Kommentar sträng Anteckningarna som tillhandahålls av användaren.
Provider sträng Indataprovidern för visningslistan.
SearchKey sträng SearchKey används för att optimera frågeprestanda när du använder visningslistor för kopplingar till andra data. Du kan till exempel aktivera en kolumn med IP-adresser som det avsedda Fältet SearchKey och sedan använda det här fältet för att ansluta till andra händelsetabeller efter IP-adress.
Källa sträng Indatakällan för visningslistan.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
Taggar sträng JSON-matrisen med taggar som tillhandahålls av användaren.
TenantId sträng Log Analytics-arbetsytans ID
TimeGenerated datetime Tidsstämpeln (UTC) för när händelsen genererades.
TimeToLive datetime Tiden att leva för en watchlist-post, uttryckt som datum och tid på dagen (t.ex. 2020-08-20T17:00:00.9618037Z). Det ursprungliga värdet ärvs från Visningslistans standardvaraktighet. Om TimeToLive godkänns anses posten vara borttagen. En posts varaktighet kan förlängas när som helst genom att uppdatera TimeToLive-värdet.
Typ sträng Namnet på tabellen
UpdatedBy dynamisk JSON-objektet med den användare som senast uppdaterade objektet Visningslista eller Visningslista, inklusive: Objekt-ID, e-post och namn.
WatchlistAlias sträng Den unika strängen som refererar till visningslistan.
WatchlistCategory sträng Kategorin Visningslista som tillhandahålls av användaren.
WatchlistId sträng Resursnamnet för Resource Manager Watchlist.
WatchlistItem dynamisk JSON-objektet med nyckel/värde-par från källan för visningslistan.
WatchlistItemId sträng Unikt ID för visningslistans objekt.
WatchlistName sträng Visningsnamnet för visningslistan.