Consultas para la tabla AlertEvidence

Artículo
11/05/2024

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Alertas que implican a un usuario

Enumera 100 alertas que implican a un usuario determinado.

let userID = "<inert your AAD user ID>";
let userSid = "<inert your user SID>";
AlertEvidence
| where EntityType == "User" and (AccountObjectId == userID or AccountSid == userSid )
| join AlertInfo on AlertId
| project Timestamp, AlertId, Title, Category , Severity , ServiceSource , DetectionSource , AttackTechniques, AccountObjectId, AccountName, AccountDomain , AccountSid  
| limit 100

Compartir a través de

Consultas para la tabla AlertEvidence

Alertas que implican a un usuario

Comentarios

Recursos adicionales