| AlertType |
string |
Nombre de tipo de la alerta. Las alertas del mismo tipo deben tener el mismo nombre. Este campo es una cadena con clave que representa el tipo de alerta y no una instancia de alerta. Todas las instancias de alerta de la misma lógica o análisis de detección deben tener el mismo valor para el tipo de alerta. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| ComponentName |
string |
Nombre de un componente dentro del producto que generó la alerta. Se trata de un campo opcional, que puede rellenarse solo para el producto en el que el usuario final externo conoce componentes específicos dentro de un producto. En el caso de los productos que ofrecen diferentes tipos de SKU/Bundles, este campo puede contener la SKU o el nombre del lote. |
| CreationDateTime |
datetime |
Fecha y hora (UTC) que se generó el evento. |
| Descripción |
string |
Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. |
| DetectionTechnology |
string |
Campo opcional que contiene la tecnología de detección de amenazas de alertas. |
| Nombre para mostrar |
string |
El nombre para mostrar de la alerta, este valor se muestra a los usuarios tal como está o con parámetros adicionales. |
| ExtendedProperties |
dinámico |
Una bolsa de campos que se presentará al usuario. Los proveedores pueden enviar aquí los campos personalizados que deben formar parte de la alerta. |
| FirstActivityDateTime |
datetime |
La hora de inicio del impacto de la alerta (la hora del primer evento o actividad incluida en la alerta). El campo se serializa una cadena según ISO8601, incluida la información de zona horaria UTC. |
| Id |
string |
Un identificador único para cada alerta de acceso a la red. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| IsPreview |
bool |
IsPreview se definirá como true, donde la alerta está en estado de versión preliminar pública y aún no es apta para disponibilidad general. De forma predeterminada, el valor es false. |
| LastActivityDateTime |
datetime |
Hora de finalización del impacto de la alerta (la hora del último evento o actividad incluida en la alerta). El campo se serializa una cadena según ISO8601, incluida la información de zona horaria UTC. |
| PolicyId |
string |
Identificador de directiva asociado al tráfico de acceso a la red que generó la alerta. |
| ProductName |
string |
Nombre del producto que publicó esta alerta, es decir, Azure Security Center, Azure ATP, ATP de Microsoft Defender, ATP de O365, MCAS, etc. |
| RelatedResources |
dinámico |
Lista de entidades relacionadas con la alerta. Esta lista puede contener una combinación de entidades de diversos tipos. El tipo de entidades puede ser cualquiera de los tipos definidos en la sección Entidades. Las entidades que no están en la lista siguiente también se pueden enviar, pero no se garantiza que se procesen (la alerta no producirá un error en la validación con nuevos tipos de entidades). |
| Gravedad |
string |
Gravedad de la alerta tal como lo notifica el proveedor. Valores posibles: Informativo, Bajo, Medio, Alto. |
| SourceSystem |
string |
Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure |
| SubTechniques |
string |
Campo opcional que especifica las sub técnicas relacionadas con la cadena de eliminación detrás de la alerta. Cada sub-técnica debe agregarse en esta lista con su identificador y debe tener al menos una intención coincidente en el campo Intención. |
| Técnicas |
string |
Campo opcional que especifica las técnicas relacionadas con la cadena de eliminación detrás de la alerta. Cada técnica debe agregarse en esta lista con su identificador y debe tener al menos una intención coincidente en el campo Intención. La validación de este campo (el formato esperado del identificador de técnica y la coincidencia con los valores de intención) siguen el modelo de matriz empresarial de MITRE att@ck (se abre en una nueva ventana o pestaña) y se pueden encontrar instrucciones adicionales sobre las distintas técnicas que componen cada intención en la documentación de MITRE. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| TimeGenerated |
datetime |
Fecha y hora (UTC) que se generó el evento. |
| Tipo |
string |
Nombre de la tabla. |
| VendorName |
string |
El nombre del proveedor que generó la alerta, este valor se muestra a los usuarios tal como está. Para la mayoría de las alertas de productos de seguridad internos, debe establecerse como "Microsoft". |