Sdílet prostřednictvím


Seznam ke zhlédnutí

Seznam ke zhlédnutí služby Azure Sentinel obsahuje importovaná data ze souborů CSV, která se dají použít k připojení nebo filtrování jako podmínky upozornění nebo incidentu.

Atributy tabulky

Atribut Hodnota
Typy prostředků -
Kategorie Zabezpečení
Řešení SecurityInsights
Základní protokol No
Transformace v čase příjmu dat Ano
Ukázkové dotazy Ano

Sloupce

Column Type Popis
AzureTenantId string ID tenanta AAD, do kterého patří tato tabulka seznamu ke zhlédnutí.
_BilledSize real Velikost záznamu v bajtech
CorrelationId string ID pro korelované události.
CreatedBy dynamic Objekt JSON s uživatelem, který vytvořil sledovací seznam nebo položku seznamu ke zhlédnutí, včetně: ID objektu, e-mail a jméno.
CreatedTimeUTC datetime Čas (UTC) při prvním vytvoření seznamu ke zhlédnutí nebo položky seznamu ke zhlédnutí.
Výchozí doba trvání string Objekt JSON popisující výchozí dobu trvání, kterou má každá položka seznamu ke zdědit při vytváření. Výchozí doba trvání má tento formát: P(n)Y(n)M(n)DT(n)H(n)M(n)S, kde P, Y, M, DT, H, M a S jsou invariantní. Například P3Y6M4DT12H30M9S představuje dobu trvání tří let, šest měsíců, čtyři dny, dvanáct hodin, třicet minut a devět sekund.
_DTItemId string Jedinečné ID položky seznamu ke zhlédnutí nebo ke zhlédnutí. Jako příklad může seznam ke zhlédnutí "RiskyUsers" obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com Položka seznamu ke zhlédnutí má jedinečné ID a patří do seznamu ke zhlédnutí. Obsahující seznam ke zhlédnutí je možné identifikovat pomocí id seznamu ke zhlédnutí.
_DTItemStatus string Byl seznam ke zhlédnutí nebo položka seznamu ke zhlédnutí vytvořena, aktualizována nebo odstraněna uživatelem. Jako příklad může seznam ke zhlédnutí "RiskyUsers" obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com Pokud přidáte seznam ke zhlédnutí, stav by byl Vytvořen. Pokud je název seznamu ke zhlédnutí aktualizován z "RiskyUsers" na "RiskyEmployees", stav by byl "Aktualizováno".
_DTItemType string Rozlišovat mezi seznamem ke zhlédnutím a položkou seznamu ke zhlédnutí Jako příklad může seznam ke zhlédnutí "RiskyUsers" obsahovat položku Seznamu ke zhlédnutí 'Name:John Doe; e-mail:johndoe@contoso.com Typ položky seznamu ke zhlédnutí patří do typu seznamu ke zhlédnutí a obsahující seznam ke zhlédnutí může být identifikován pomocí id seznamu ke zhlédnutí.
_DTTimestamp datetime Čas (UTC) při vygenerování události
EntityMapping dynamic Objekt JSON s entitou Azure Sentinelu, který mapuje vstupní sloupce.
_IsBillable string Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure
LastUpdatedTimeUTC datetime Čas (UTC) poslední aktualizace seznamu ke zhlédnutí nebo položky seznamu ke zhlédnutí
Notes string Poznámky poskytnuté uživatelem.
Poskytovatel string Vstupní zprostředkovatel seznamu ke zhlédnutí.
SearchKey string SearchKey slouží k optimalizaci výkonu dotazů při použití seznamů ke zhlédnutí pro spojení s jinými daty. Můžete například povolit, aby sloupec s IP adresami byl určeným polem SearchKey a pak toto pole použijte pro spojení v jiných tabulkách událostí podle IP adresy.
Zdroj string Vstupní zdroj seznamu ke zhlédnutí.
SourceSystem string Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure
Značky string Pole JSON značek poskytovaných uživatelem.
TenantId string ID pracovního prostoru služby Log Analytics
TimeGenerated datetime Časové razítko (UTC) doby, kdy byla událost vygenerována.
TimeToLive datetime Doba trvání záznamu seznamu ke zhlédnutí vyjádřená jako datum a čas dne (např. 2020-08-20T17:00:00.9618037Z). Původní hodnota je zděděna z výchozí doby trvání seznamu ke zhlédnutí. Pokud TimeToLive projde, záznam se považuje za odstraněný. Dobu trvání záznamu lze kdykoli prodloužit aktualizací hodnoty TimeToLive.
Typ string Název tabulky
Aktualizováno dynamic Objekt JSON s uživatelem, který naposledy aktualizoval seznam ke zhlédnutí nebo položku seznamu ke zhlédnutí, včetně: ID objektu, e-mail a jméno.
WatchlistAlias string Jedinečný řetězec odkazující na seznam ke zhlédnutí.
WatchlistCategory string Kategorie Seznam ke zhlédnutí poskytovaná uživatelem.
Id seznamu ke zhlédnutí string Název prostředku seznamu ke zhlédnutí Resource Manageru
WatchlistItem dynamic Objekt JSON s páry klíč-hodnota ze vstupního zdroje seznamu ke zhlédnutí.
WatchlistItemId string Jedinečné ID položky Seznamu ke zhlédnutí.
Jméno ke zhlédnutí string Zobrazovaný název seznamu ke zhlédnutí.