Compartir a través de


ThreatIntelIndicators

Tabla de inteligencia sobre amenazas que contiene indicadores STIX.

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.securityinsights/threatintelligence
Categorías Seguridad
Soluciones Información de seguridad
Registro básico
Transformación en tiempo de ingesta No
Consultas de ejemplo -

Columnas

Columna Type Descripción
AdditionalFields dinámico Los campos especular de tipo que agrega Sentinel. Contiene el TLPLevel: blanco, verde, ámbar o rojo.
AzureTenantId string Inquilino que envió el indicador.
_BilledSize real Tamaño del registro en bytes
Confianza int La confianza que el creador tiene en la exactitud de sus datos. El valor debe ser un número en el intervalo de 0 a 100.
Creado datetime Fecha en que se creó el indicador.
Data dinámico Todas las propiedades de objeto, con formato según la especificación STIX (https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf).
Id string Valor que identifica de forma única el objeto STIX del indicador. Este valor se puede usar con las API de Sentinel.
IsActive bool Valor que especifica si un indicador está activo y válido para las detecciones.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
IsDeleted bool Valor que indica si los datos se eliminaron de Sentinel o no.
LastUpdateMethod string Componente que actualizó por última vez el indicador.
Modificada datetime Fecha en que se modificó el indicador.
ObservableKey string El lado izquierdo completo de una comparación de igualdad del patrón.
ObservableValue string Todo el lado derecho de una comparación de igualdad del patrón.
Patrón string El patrón de detección de este indicador PUEDE expresarse como un patrón STIX.
_ResourceId string Identificador único del recurso al que está asociado el registro.
Revocada bool Valor que especifica si se revoca el indicador.
Source string Nombre del origen.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
Etiquetas string Etiquetas definidas por Sentinel para el indicador.
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Hora de ingesta del indicador.
Tipo string Nombre de la tabla.
ValidFrom datetime El tiempo a partir del cual este indicador se considera un indicador válido de los comportamientos que está relacionado o representa.
ValidUntil datetime El momento en el que este indicador ya no debe considerarse un indicador válido de los bahviors a los que está relacionado o representa.
WorkspaceId string Área de trabajo que envió el indicador.