Compartir a través de


NetworkAccessAlerts

Esta tabla forma parte de Identity and Network Access, que contiene alertas de acceso de red. Estas alertas se pueden aprovechar para conocer el estado del acceso a la red.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad, red, herramientas de TI y administración
Soluciones LogManagement
Registro básico No
Transformación en tiempo de ingesta No
Consultas de ejemplo -

Columnas

Columna Type Descripción
AlertType string Nombre de tipo de la alerta. Las alertas del mismo tipo deben tener el mismo nombre. Este campo es una cadena con clave que representa el tipo de alerta y no una instancia de alerta. Todas las instancias de alerta de la misma lógica o análisis de detección deben tener el mismo valor para el tipo de alerta.
_BilledSize real Tamaño del registro en bytes
ComponentName string Nombre de un componente dentro del producto que generó la alerta. Se trata de un campo opcional, que puede rellenarse solo para el producto en el que el usuario final externo conoce componentes específicos dentro de un producto. En el caso de los productos que ofrecen diferentes tipos de SKU/Bundles, este campo puede contener la SKU o el nombre del lote.
CreationDateTime datetime Fecha y hora (UTC) que se generó el evento.
Descripción string Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión.
DetectionTechnology string Campo opcional que contiene la tecnología de detección de amenazas de alertas.
Nombre para mostrar string El nombre para mostrar de la alerta, este valor se muestra a los usuarios tal como está o con parámetros adicionales.
ExtendedProperties dinámico Una bolsa de campos que se presentará al usuario. Los proveedores pueden enviar aquí los campos personalizados que deben formar parte de la alerta.
FirstActivityDateTime datetime La hora de inicio del impacto de la alerta (la hora del primer evento o actividad incluida en la alerta). El campo se serializa una cadena según ISO8601, incluida la información de zona horaria UTC.
Id string Un identificador único para cada alerta de acceso a la red.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
IsPreview bool IsPreview se definirá como true, donde la alerta está en estado de versión preliminar pública y aún no es apta para disponibilidad general. De forma predeterminada, el valor es false.
LastActivityDateTime datetime Hora de finalización del impacto de la alerta (la hora del último evento o actividad incluida en la alerta). El campo se serializa una cadena según ISO8601, incluida la información de zona horaria UTC.
PolicyId string Identificador de directiva asociado al tráfico de acceso a la red que generó la alerta.
ProductName string Nombre del producto que publicó esta alerta, es decir, Azure Security Center, Azure ATP, ATP de Microsoft Defender, ATP de O365, MCAS, etc.
RelatedResources dinámico Lista de entidades relacionadas con la alerta. Esta lista puede contener una combinación de entidades de diversos tipos. El tipo de entidades puede ser cualquiera de los tipos definidos en la sección Entidades. Las entidades que no están en la lista siguiente también se pueden enviar, pero no se garantiza que se procesen (la alerta no producirá un error en la validación con nuevos tipos de entidades).
Gravedad string Gravedad de la alerta tal como lo notifica el proveedor. Valores posibles: Informativo, Bajo, Medio, Alto.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
SubTechniques string Campo opcional que especifica las sub técnicas relacionadas con la cadena de eliminación detrás de la alerta. Cada sub-técnica debe agregarse en esta lista con su identificador y debe tener al menos una intención coincidente en el campo Intención.
Técnicas string Campo opcional que especifica las técnicas relacionadas con la cadena de eliminación detrás de la alerta. Cada técnica debe agregarse en esta lista con su identificador y debe tener al menos una intención coincidente en el campo Intención. La validación de este campo (el formato esperado del identificador de técnica y la coincidencia con los valores de intención) siguen el modelo de matriz empresarial de MITRE att@ck (se abre en una nueva ventana o pestaña) y se pueden encontrar instrucciones adicionales sobre las distintas técnicas que componen cada intención en la documentación de MITRE.
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora (UTC) que se generó el evento.
Tipo string Nombre de la tabla.
VendorName string El nombre del proveedor que generó la alerta, este valor se muestra a los usuarios tal como está. Para la mayoría de las alertas de productos de seguridad internos, debe establecerse como "Microsoft".