| AlertType |
Zeichenfolge |
Der Typname der Warnung. Warnungen desselben Typs sollten denselben Namen haben. Dieses Feld ist eine Schlüsselzeichenfolge, die den Typ der Warnung und nicht einer Warnungsinstanz darstellt. Alle Warnungsinstanzen derselben Erkennungslogik/Analyse sollten denselben Wert für den Warnungstyp aufweisen. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| ComponentName |
Zeichenfolge |
Der Name einer Komponente innerhalb des Produkts, das die Warnung generiert hat. Dies ist ein optionales Feld, das nur für Produkte aufgefüllt werden kann, in denen externe Endbenutzer bestimmte Komponenten innerhalb eines Produkts kennen. Bei Produkten, die unterschiedliche Arten von SKU/Bundles anbieten, kann dieses Feld den SKU- oder Bündelnamen enthalten. |
| CreationDateTime |
datetime |
Das Datum und die Uhrzeit (UTC), zu dem das Ereignis generiert wurde. |
| Beschreibung |
string |
Die Anzahl Bytes, die für die Verbindung oder Sitzung von der Quelle an das Ziel gesendet werden. |
| DetectionTechnology |
Zeichenfolge |
Optionales Feld zum Halten der Bedrohungserkennungstechnologie für Warnungen. |
| DisplayName |
Zeichenfolge |
Der Anzeigename der Warnung wird benutzern entweder gleich oder mit zusätzlichen Parametern angezeigt. |
| ExtendedProperties |
dynamisch |
Eine Tasche mit Feldern, die dem Benutzer angezeigt werden. Anbieter können hier alle benutzerdefinierten Felder senden, die Teil der Warnung sein sollten. |
| FirstActivityDateTime |
datetime |
Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). Das Feld wird gemäß ISO8601 serialisiert, einschließlich UTC-Zeitzoneninformationen. |
| Kennung |
Zeichenfolge |
Ein eindeutiger Bezeichner für jede Netzwerkzugriffsbenachrichtigung. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsPreview |
bool |
IsPreview wird als "true" definiert, wenn sich die Warnung im Zustand der öffentlichen Vorschau befindet und noch nicht für ga berechtigt ist. Der Wert ist standardmäßig "false". |
| LastActivityDateTime |
datetime |
Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). Das Feld wird gemäß ISO8601 serialisiert, einschließlich UTC-Zeitzoneninformationen. |
| PolicyId |
Zeichenfolge |
Die Richtlinien-ID, die dem Netzwerkzugriffsdatenverkehr zugeordnet ist, der die Warnung generiert hat. |
| Produktname |
Zeichenfolge |
Der Name des Produkts, das diese Warnung veröffentlicht hat, z. B. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS usw. |
| RelatedResources |
dynamisch |
Eine Liste der Entitäten im Zusammenhang mit der Warnung. Diese Liste kann eine Mischung aus Entitäten unterschiedlicher Typen enthalten. Der Entitätentyp kann einer der im Abschnitt „Entities“ definierten Typen sein. Entitäten, die sich nicht in der nachstehenden Liste befinden, können ebenfalls gesendet werden, es ist jedoch nicht garantiert, dass sie verarbeitet werden (die Warnung schlägt keine Überprüfung mit neuen Entitätstypen fehl). |
| Severity |
Zeichenfolge |
Der Schweregrad der Warnung, wie sie vom Anbieter gemeldet wird. Mögliche Werte: Informational, Niedrig, Mittel, Hoch. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SubTechniques |
Zeichenfolge |
Optionales Feld, das die zugehörigen Subtechniken für die Killchain hinter der Warnung angibt. Jede Untertechnik sollte in dieser Liste mithilfe ihrer ID hinzugefügt werden, und sie sollte mindestens eine übereinstimmende Absicht im Feld "Intent" haben. |
| Techniken |
Zeichenfolge |
Optionales Feld, das die killchainbezogenen Techniken hinter der Warnung angibt. Jede Technik sollte in dieser Liste mithilfe ihrer ID hinzugefügt werden und mindestens einen übereinstimmenden Zweck im Feld "Intent" aufweisen. Die Überprüfung dieses Felds (das erwartete Format der Technik-ID und der Abgleich mit den Intent-Werten) folgen MITRE att@ck Enterprise-Matrixmodell (Wird in neuem Fenster oder Registerkarte geöffnet) und weitere Anleitungen zu den verschiedenen Techniken, die jede Absicht bilden, finden Sie in der DOKUMENTATION von MITRE. |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Das Datum und die Uhrzeit (UTC), zu dem das Ereignis generiert wurde. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| VendorName |
Zeichenfolge |
Der Name des Anbieters, der die Warnung ausgelöst hat, wird diesem Wert für Benutzer wie folgt angezeigt. Bei den meisten internen Sicherheitsprodukten sollte sie als "Microsoft" festgelegt werden. |