| AlertType |
string |
Název typu výstrahy. Výstrahy stejného typu by měly mít stejný název. Toto pole je řetězec s klíči představující typ výstrahy, nikoli instanci výstrahy. Všechny instance výstrah ze stejné logiky detekce nebo analýzy by měly mít stejnou hodnotu pro typ výstrahy. |
| _BilledSize |
real |
Velikost záznamu v bajtech |
| ComponentName |
string |
Název komponenty uvnitř produktu, který výstrahu vygeneroval. Toto je volitelné pole, které může být vyplněno pouze pro produkt, ve kterém externí koncový uživatel ví o konkrétních součástech v rámci produktu. U produktů, které nabízejí různé typy skladových položek nebo sad, může toto pole obsahovat název skladové položky nebo sady. |
| CreationDateTime |
datetime |
Datum a čas (UTC), které událost vygenerovala. |
| Popis |
string |
Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. |
| DetekceTechnologie |
string |
Volitelné pole pro uchování technologie detekce hrozeb výstrah. |
| DisplayName |
string |
Zobrazovaný název výstrahy se uživatelům zobrazí buď tak, jak je, nebo s dalšími parametry. |
| ExtendedProperties |
dynamic |
Taška polí, která se zobrazí uživateli. Poskytovatelé můžou sem posílat všechna vlastní pole, která by měla být součástí výstrahy. |
| FirstActivityDateTime |
datetime |
Čas zahájení upozornění (čas první události nebo aktivity zahrnuté v upozornění) Pole je serializován řetězec podle ISO8601, včetně informací o časovém pásmu UTC. |
| ID |
řetězec |
Jedinečný identifikátor pro každou výstrahu přístupu k síti. |
| _IsBillable |
string |
Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| IsPreview |
bool |
IsPreview se definuje jako true, kde je upozornění ve stavu Public Preview a ještě nemá nárok na ga. Ve výchozím nastavení je hodnota false. |
| LastActivityDateTime |
datetime |
Koncový čas upozornění na dopad (čas poslední události nebo aktivity zahrnuté v upozornění). Pole je serializován řetězec podle ISO8601, včetně informací o časovém pásmu UTC. |
| PolicyId |
string |
ID zásady přidružené k provozu síťového přístupu, který vygeneroval výstrahu. |
| ProductName |
string |
Název produktu, který publikoval toto upozornění, tj. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS atd. |
| Související zdroje |
dynamic |
Seznam entit souvisejících s výstrahou Tento seznam může obsahovat kombinaci entit různých typů. Typ entit může být libovolný z typů definovaných v části Entity. Entity, které nejsou v níže uvedeném seznamu, se také dají odeslat, ale není zaručeno, že se budou zpracovávat (upozornění nebude neúspěšné ověření u nových typů entit). |
| Závažnost |
string |
Závažnost výstrahy, jak ji hlásí poskytovatel. Možné hodnoty: informační, nízká, střední, vysoká. |
| SourceSystem |
string |
Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| SubTechniques |
string |
Volitelné pole, které za výstrahou určuje dílčí techniky související s řetězem ukončení. Každá dílčí technika by měla být přidána do tohoto seznamu pomocí id a měla by mít v poli Záměr alespoň jeden odpovídající záměr. |
| Techniky |
string |
Volitelné pole, které určuje techniky související s řetězem ukončení výstrahy. Každá technika by měla být v tomto seznamu přidána pomocí id a měla by mít v poli Záměr alespoň jeden odpovídající záměr. Ověření tohoto pole (očekávaný formát ID techniky a porovnávání hodnot záměru) se řídí modelem MITRE att@ck enterprise matrix (otevře se nové okno nebo karta) a další pokyny k různým technikám, které tvoří jednotlivé záměry, najdete v dokumentaci k MITRE. |
| TenantId |
string |
ID pracovního prostoru služby Log Analytics |
| TimeGenerated |
datetime |
Datum a čas (UTC), které událost vygenerovala. |
| Typ |
string |
Název tabulky |
| VendorName |
string |
Název dodavatele, který výstrahu vyvolal, se tato hodnota zobrazí uživatelům tak, jak je. U většiny interních produktů zabezpečení by se měla nastavit jako Microsoft. |