| Åtgärd |
sträng |
Åtgärd att vidta vid indikatormatchning. |
| Aktiv |
bool |
Anger om indikatorn är aktiv. |
| ActivityGroupNames |
sträng |
Aktivitetsgrupper som är associerade med indikator. |
| Ytterligare information |
sträng |
Ytterligare information om indikator i fritext. |
| _BilledSize |
real |
Poststorleken i byte |
| ConfidenceScore |
real |
Konfidensklassificering för indikatorn, från 0 till 100. |
| beskrivning |
sträng |
Beskrivning av indikatorn. |
| DiamondModel |
sträng |
Diamantmodellvärde för indikatorn, en av angripare, kapacitet, infrastruktur eller offer. |
| DomainName |
sträng |
Domännamnet kan observeras. |
| EmailEncoding |
sträng |
E-postkodningen kan observeras. |
| EmailLanguage |
sträng |
E-postspråket kan observeras. |
| EmailRecipient |
sträng |
E-postmottagaren kan observeras. |
| EmailSenderAddress |
sträng |
E-postadressen kan observeras. |
| EmailSenderName |
sträng |
E-postsändarnamnet kan observeras. |
| EmailSourceDomain |
sträng |
E-postkällans domän kan observeras. |
| EmailSourceIpAddress |
sträng |
Ip-adressen för e-postkällan kan observeras. |
| EmailSubject |
sträng |
E-postämnet kan observeras. |
| EmailXMailer |
sträng |
E-postmeddelandet X-Mailer kan observeras. |
| ExpirationDateTime |
datetime |
Förfallotid för indikator. |
| ExternalIndicatorId |
sträng |
Identifierare för indikator från att skicka systemet. |
| FileCompileDateTime |
datetime |
Filkompileringstiden kan observeras. |
| FileCreatedDateTime |
datetime |
Tiden då filen skapades kan observeras. |
| FileHashType |
sträng |
Filhashtypen kan observeras. |
| FileHashValue |
sträng |
Filhashvärdet kan observeras. |
| FileMutexName |
sträng |
Filens mutex-namn kan observeras. |
| FileName |
sträng |
Filnamnet kan observeras. |
| FilePacker |
sträng |
Filpaketeraren kan observeras. |
| FilePath |
sträng |
Filsökvägen kan observeras. |
| FileSize |
heltal |
Filstorleken kan observeras. |
| FileType |
sträng |
Filtypen kan observeras. |
| IndicatorId |
sträng |
Unik identifierare för indikator, beräknad genom att ta emot systemet. |
| IndicatorProvider |
sträng |
Namnet på den entitet som angav indikatorn. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| KillChainActions |
bool |
Anger om värdet för "åtgärder" för avlivningskedjan har angetts. |
| KillChainC2 |
bool |
Anger om värdet "C2" för avlivningskedjan har angetts. |
| KillChainDelivery |
bool |
Anger om värdet "leverans" för avlivningskedjan har angetts. |
| KillChainExploitation |
bool |
Anger om värdet "exploatering" för avlivningskedjan har angetts. |
| KillChainReconnaissance |
bool |
Anger om värdet "reconniassance" för avlivningskedjan har angetts. |
| KillChainWeaponization |
bool |
Anger om värdet för "vapenisering" för dödande kedja har angetts. |
| KnownFalsePositives |
sträng |
Text som beskriver situationer där indikatorn kan orsaka falska positiva identifieringar. |
| MalwareNames |
sträng |
Lista över namn på skadlig kod som är associerade med indikator |
| NetworkCidrBlock |
sträng |
Nätverkets CIDR-block kan observeras. |
| NetworkDestinationAsn |
heltal |
Nätverksmålets autonoma systemnummer kan observeras. |
| NetworkDestinationCidrBlock |
sträng |
Nätverksmålets CIDR-block kan observeras. |
| NetworkDestinationIP |
sträng |
IP-adressen för nätverkets mål. |
| NetworkDestinationPort |
heltal |
Nätverksmålporten kan observeras. |
| NetworkIP |
sträng |
Nätverks-IP-adressen kan observeras. |
| NetworkPort |
heltal |
Nätverksporten kan observeras. |
| NetworkProtocol |
heltal |
Nätverksprotokollet kan observeras. |
| NetworkSourceAsn |
heltal |
Nätverkskällans autonoma systemnummer kan observeras. |
| NetworkSourceCidrBlock |
sträng |
Nätverkskällans CIDR-block kan observeras. |
| NetworkSourceIP |
sträng |
Ip-adressen för nätverkskällan kan observeras. |
| NetworkSourcePort |
heltal |
Nätverkskällans port kan observeras. |
| PassiveOnly |
bool |
Anger om indikatorn ska utlösa en händelse som är synlig för en användare. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Taggar |
sträng |
Taggar för kostnadsfria formulär. |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatSeverity |
heltal |
Allvarlighetsgrad för indikator från 0 till 5. Högre värde anger större allvarlighetsgrad. |
| ThreatType |
sträng |
Hottyp för indikator. |
| TimeGenerated |
datetime |
Tid för indikatorinmatning. |
| TrafficLightProtocolLevel |
sträng |
Branschstandard trafikljusprotokollnivå, en av vit, grön, gul eller röd. |
| Typ |
sträng |
Namnet på tabellen |
| URL |
sträng |
Url:en kan observeras. |
| UserAgent |
sträng |
Användaragenten kan observeras. |