| Aktion |
Zeichenfolge |
Aktion, die bei indikatorgleicher Übereinstimmung ausgeführt werden soll. |
| Aktiv |
bool |
Gibt an, ob der Indikator aktiv ist. |
| ActivityGroupNames |
Zeichenfolge |
Aktivitätsgruppen, die dem Indikator zugeordnet sind. |
| AdditionalInformation |
Zeichenfolge |
Zusätzliche Freitextinformationen für Indikator. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| ConfidenceScore |
real |
Konfidenzbewertung des Indikators von 0 bis 100. |
| Beschreibung |
string |
Die Beschreibung des Indikators. |
| DiamondModel |
Zeichenfolge |
Rautenmodellwert für den Indikator, einer von Angreifern, Fähigkeiten, Infrastruktur oder Opfer. |
| DomainName |
Zeichenfolge |
Der Domänenname ist feststellbar. |
| EmailEncoding |
Zeichenfolge |
Die E-Mail-Codierung ist feststellbar. |
| EmailLanguage |
Zeichenfolge |
Die E-Mail-Sprache ist feststellbar. |
| EmailRecipient |
Zeichenfolge |
Der E-Mail-Empfänger ist feststellbar. |
| EmailSenderAddress |
Zeichenfolge |
Die E-Mail-Absenderadresse ist feststellbar. |
| EmailSenderName |
Zeichenfolge |
Der Name des E-Mail-Absenders ist feststellbar. |
| EmailSourceDomain |
Zeichenfolge |
Die E-Mail-Quelldomäne ist feststellbar. |
| EmailSourceIpAddress |
Zeichenfolge |
Die E-Mail-Quell-IP-Adresse ist feststellbar. |
| EmailSubject |
Zeichenfolge |
Der E-Mail-Betreff ist feststellbar. |
| EmailXMailer |
Zeichenfolge |
Die X-Mail-E-Mailer-Nachricht ist feststellbar. |
| ExpirationDateTime |
datetime |
Zeitpunkt des Ablaufs des Indikators. |
| ExternalIndicatorId |
Zeichenfolge |
Bezeichner für Indikator vom Senden des Systems. |
| FileCompileDateTime |
datetime |
Die Zeit für die Dateikompilierung, die feststellbar ist. |
| FileCreatedDateTime |
datetime |
Die Zeit für die Dateierstellung ist feststellbar. |
| FileHashType |
Zeichenfolge |
Der Dateihashtyp ist feststellbar. |
| FileHashValue |
Zeichenfolge |
Der Feststellbare Dateihashwert. |
| FileMutexName |
Zeichenfolge |
Der Name der Datei mutex ist feststellbar. |
| FileName |
Zeichenfolge |
Der Dateiname ist feststellbar. |
| FilePacker |
Zeichenfolge |
Der File Packer ist feststellbar. |
| FilePath |
Zeichenfolge |
Der Dateipfad ist feststellbar. |
| FileSize |
int |
Die Dateigröße ist feststellbar. |
| FileType |
Zeichenfolge |
Der Dateityp ist feststellbar. |
| IndicatorId |
Zeichenfolge |
Eindeutiger Bezeichner für den Indikator, berechnet durch empfangendes System. |
| IndicatorProvider |
Zeichenfolge |
Der Name der Entität, die den Indikator bereitgestellt hat. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| KillChainActions |
bool |
Gibt an, ob der Kill chain-Wert "actions" festgelegt ist. |
| KillChainC2 |
bool |
Gibt an, ob der Kill chain-Wert "C2" festgelegt ist. |
| KillChainDelivery |
bool |
Gibt an, ob der Kill Chain-Wert "delivery" festgelegt ist. |
| KillChainExploitation |
bool |
Gibt an, ob der Kill Chain-Wert "Exploitation" festgelegt ist. |
| KillChainReconnaissance |
bool |
Gibt an, ob der Killchainwert "Reconniassance" festgelegt ist. |
| KillChainWeaponization |
bool |
Gibt an, ob der Kill Chain-Wert "Waffenisierung" festgelegt ist. |
| KnownFalsePositives |
Zeichenfolge |
Text, der Situationen beschreibt, in denen der Indikator zu falsch positiven Ergebnissen führen kann. |
| MalwareNames |
Zeichenfolge |
Liste der Schadsoftwarenamen, die dem Indikator zugeordnet sind |
| NetworkCidrBlock |
Zeichenfolge |
Der CIDR-Netzwerkblock ist feststellbar. |
| NetworkDestinationAsn |
int |
Die autonome Systemnummer des Netzwerkziels. |
| NetworkDestinationCidrBlock |
Zeichenfolge |
Der CIDR-Block des Netzwerkziels ist feststellbar. |
| NetworkDestinationIP |
Zeichenfolge |
Die IP-Adresse des Netzwerkziels. |
| NetworkDestinationPort |
int |
Der Feststellbare Netzwerkzielport. |
| NetworkIP |
Zeichenfolge |
Die Netzwerk-IP-Adresse ist feststellbar. |
| NetworkPort |
int |
Der Netzwerkport ist feststellbar. |
| NetworkProtocol |
int |
Das Netzwerkprotokoll ist feststellbar. |
| NetworkSourceAsn |
int |
Die autonome Systemnummer der Netzwerkquelle. |
| NetworkSourceCidrBlock |
Zeichenfolge |
Der CIDR-Block der Netzwerkquelle ist feststellbar. |
| NetworkSourceIP |
Zeichenfolge |
Die IP-Adresse der Netzwerkquelle ist feststellbar. |
| NetworkSourcePort |
int |
Der Netzwerkquellport ist feststellbar. |
| PassivOnly |
bool |
Gibt an, ob der Indikator ein Ereignis auslösen soll, das für einen Benutzer sichtbar ist. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Tags |
Zeichenfolge |
Freiformtags. |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| ThreatSeverity |
int |
Bewertung des Indikatorschweregrads von 0 bis 5. Höherer Wert gibt einen höheren Schweregrad an. |
| ThreatType |
Zeichenfolge |
Bedrohungstyp des Indikators. |
| TimeGenerated |
datetime |
Zeit der Indikatoraufnahme. |
| TrafficLightProtocolLevel |
Zeichenfolge |
Standard-Ampelprotokollebene der Industrie, einer von Weiß, Grün, Gelb oder Rot. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| url |
Zeichenfolge |
Die URL ist feststellbar. |
| UserAgent |
Zeichenfolge |
Der Benutzer-Agent ist feststellbar. |