| AlertType |
sträng |
Typnamnet på aviseringen. Aviseringar av samma typ bör ha samma namn. Det här fältet är en nyckelsträng som representerar typen av avisering och inte för en aviseringsinstans. Alla aviseringsinstanser från samma identifieringslogik/analys bör ha samma värde för aviseringstyp. |
| _BilledSize |
real |
Poststorleken i byte |
| ComponentName |
sträng |
Namnet på en komponent i produkten som genererade aviseringen. Det här är ett valfritt fält som endast kan fyllas i för en produkt där den externa slutanvändaren känner till specifika komponenter i en produkt. För produkter som erbjuder olika typer av SKU/paket kan det här fältet innehålla SKU:n eller paketnamnet. |
| CreationDateTime |
datetime |
Datum och tid (UTC) som händelsen genererades. |
| beskrivning |
sträng |
Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
| DetectionTechnology |
sträng |
Valfritt fält för att lagra tekniken för identifiering av aviseringshot. |
| DisplayName |
sträng |
Visningsnamnet för aviseringen, det här värdet visas för användare antingen som de är eller med ytterligare parametrar. |
| ExtendedProperties |
dynamisk |
En påse med fält som visas för användaren. Leverantörer kan skicka här alla anpassade fält som ska ingå i aviseringen. |
| FirstActivityDateTime |
datetime |
Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen). Fältet serialiseras en sträng enligt ISO8601, inklusive UTC-tidszonsinformation. |
| Id |
sträng |
En unik identifierare för varje nätverksåtkomstavisering. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| IsPreview |
bool |
IsPreview definieras som sant där aviseringen är i offentligt förhandsversionstillstånd och inte är berättigad till ga ännu. Som standard är värdet falskt. |
| LastActivityDateTime |
datetime |
Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen). Fältet serialiseras en sträng enligt ISO8601, inklusive UTC-tidszonsinformation. |
| PolicyId |
sträng |
Princip-ID:t som är associerat med nätverksåtkomsttrafiken som genererade aviseringen. |
| ProductName |
sträng |
Namnet på den produkt som publicerade den här aviseringen, t.ex. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS osv. |
| RelatedResources |
dynamisk |
En lista över entiteter som är relaterade till aviseringen. Den här listan kan innehålla en blandning av entiteter av olika typer. Entitetstypen kan vara någon av de typer som definieras i avsnittet Entiteter. Entiteter som inte finns i listan nedan kan också skickas, men det är inte garanterat att de bearbetas (aviseringen misslyckas inte verifieringen med nya typer av entiteter). |
| Allvarlighet |
sträng |
Allvarlighetsgraden för aviseringen eftersom den rapporteras av providern. Möjliga värden: Information, Låg, Medel, Hög. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SubTechniques |
sträng |
Valfritt fält som anger de kill chain-relaterade underteknikerna bakom aviseringen. Varje underteknik bör läggas till i den här listan med hjälp av dess ID och den bör ha minst en matchande avsikt i fältet Avsikt. |
| Tekniker |
sträng |
Valfritt fält som anger de kill chain-relaterade teknikerna bakom aviseringen. Varje teknik bör läggas till i den här listan med hjälp av dess ID och den bör ha minst en matchande avsikt i fältet Avsikt. Valideringen av det här fältet (det förväntade formatet för teknik-ID:t och matchningen mot avsiktsvärdena) följer MITRE att@ck företagsmatrismodell (Öppnas i nytt fönster eller på fliken), och ytterligare vägledning om de olika tekniker som utgör varje avsikt finns i MITRE:s dokumentation. |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Datum och tid (UTC) som händelsen genererades. |
| Typ |
sträng |
Namnet på tabellen |
| VendorName |
sträng |
Namnet på leverantören som utlöste aviseringen, det här värdet visas för användarna som det är. För de flesta aviseringar om interna säkerhetsprodukter bör det anges som "Microsoft". |