| AdditionalFields |
dynamisch |
Die typspezifc-Felder, die Sentinel hinzufügt. Enthält den TLPLevel: weiß, grün, gelb oder rot. |
| AzureTenantId |
Zeichenfolge |
Der Mandant, der den Indikator übermittelt hat. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| Zuverlässigkeit |
int |
Das Vertrauen, dass der Ersteller seine Daten korrekt hat. Der Wert muss eine Zahl im Bereich von 0 bis 100 sein. |
| Erstellt |
datetime |
Das Datum, an dem der Indikator erstellt wurde. |
| Daten |
dynamisch |
Alle Objekteigenschaften, entsprechend der STIX-Spezifikation (https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf). |
| Kennung |
Zeichenfolge |
Ein Wert, der das Indikator-STIX-Objekt eindeutig identifiziert. Dieser Wert kann mit Sentinel-APIs verwendet werden. |
| IsActive |
bool |
Ein Wert, der angibt, ob ein Indikator aktiv und gültig für Erkennungen ist. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| isDeleted |
bool |
Ein Wert, der angibt, ob die Daten aus Sentinel gelöscht wurden oder nicht. |
| LastUpdateMethod |
Zeichenfolge |
Die Komponente, die den Indikator zuletzt aktualisiert hat. |
| Geändert |
datetime |
Das Datum, an dem der Indikator geändert wurde. |
| ObservableKey |
Zeichenfolge |
Die gesamte linke Seite eines Gleichheitsvergleichs aus dem Muster. |
| ObservableValue |
Zeichenfolge |
Die gesamte rechte Seite eines Gleichheitsvergleichs aus dem Muster. |
| Muster |
Zeichenfolge |
Das Erkennungsmuster für diesen Indikator kann als STIX-Muster ausgedrückt werden. |
| _ResourceId |
Zeichenfolge |
Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| Widerrufen |
bool |
Ein Wert, der angibt, ob der Indikator widerrufen wurde. |
| Quelle |
Zeichenfolge |
Der Name der Quelle. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| _SubscriptionId |
Zeichenfolge |
Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| Tags |
Zeichenfolge |
Sentinel hat Tags für den Indikator definiert. |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Die Zeit der Indikatoraufnahme. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| ValidFrom |
datetime |
Die Zeit, aus der dieser Indikator als gültiger Indikator für die Verhaltensweisen betrachtet wird, die es bezieht oder darstellt. |
| ValidUntil |
datetime |
Die Zeit, zu der dieser Indikator nicht mehr als gültiger Indikator der Bahvioren betrachtet werden soll, mit denen es in Beziehung steht oder repräsentiert. |
| WorkspaceId |
Zeichenfolge |
Der Arbeitsbereich, der den Indikator übermittelt hat. |