Compartir a través de


Watchlist

La lista de reproducción de Azure Sentinel contiene datos importados de archivos CSV que se pueden usar para unirse o filtrar como una condición de alerta o incidente.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
AzureTenantId string Identificador de inquilino de AAD al que pertenece esta tabla de lista de reproducción.
_BilledSize real Tamaño del registro en bytes
CorrelationId string Identificador de los eventos correlacionados.
CreatedBy dinámico Objeto JSON con el usuario que creó el elemento Lista de reproducción o Lista de seguimiento, incluido: Id. de objeto, correo electrónico y nombre.
CreatedTimeUTC datetime Hora (UTC) en la que se creó por primera vez el elemento Lista de reproducción o Lista de reproducción.
DefaultDuration string Objeto JSON que describe la duración predeterminada para vivir que cada elemento de una lista de reproducción debe heredar al crearse. La duración predeterminada tiene este formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, donde P, Y, M, DT, H, M y S son invariables. Por ejemplo, P3Y6M4DT12H30M9S representa una duración de tres años, seis meses, cuatro días, doce horas, treinta minutos y nueve segundos.
_DTItemId string Id. único del elemento Lista de reproducción o Lista de reproducción. Por ejemplo, una lista de reproducción 'RiskyUsers' puede contener el elemento de lista de reproducción 'Name:John Doe; email:johndoe@contoso.com'. Un elemento de lista de reproducción tiene un identificador único y pertenece a una lista de reproducción. La lista de reproducción contenedora puede identificarse mediante el "WatchlistId".
_DTItemStatus string Era el elemento Lista de reproducción o Lista de reproducción creado, actualizado o eliminado por el usuario. Por ejemplo, una lista de reproducción 'RiskyUsers' puede contener el elemento de lista de reproducción 'Name:John Doe; email:johndoe@contoso.com'. Si se agrega una lista de reproducción, el estado sería "Creado". Si el nombre de la lista de reproducción se actualiza de "RiskyUsers" a "RiskyEmployees", el estado sería "Actualizado".
_DTItemType string Distinguir entre una lista de reproducción y un elemento de lista de reproducción. Por ejemplo, una lista de reproducción 'RiskyUsers' puede contener el elemento de lista de reproducción 'Name:John Doe; email:johndoe@contoso.com'. Un tipo de elemento de lista de reproducción pertenecerá a un tipo de lista de reproducción y la lista de reproducción contenedora puede identificarse mediante el "WatchlistId".
_DTTimestamp datetime Hora (UTC) en la que se generó el evento.
EntityMapping dinámico Objeto JSON con asignación de entidades de Azure Sentinel a columnas de entrada.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
LastUpdatedTimeUTC datetime Hora (UTC) en la que se actualizó por última vez la lista de reproducción o el elemento lista de reproducción.
Notas string Notas proporcionadas por el usuario.
Proveedor string Proveedor de entrada de la lista de reproducción.
SearchKey string SearchKey se usa para optimizar el rendimiento de las consultas cuando se usan listas de reproducción para combinaciones con otros datos. Por ejemplo, habilite una columna con direcciones IP para que sea el campo SearchKey designado y, a continuación, use este campo para unirse a otras tablas de eventos por dirección IP.
Source string Origen de entrada de la lista de reproducción.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
Etiquetas string Matriz JSON de etiquetas proporcionadas por el usuario.
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Marca de tiempo (UTC) de cuándo se generó el evento.
TimeToLive datetime El período de vida de un registro watchlist, expresado como una fecha y hora del día (por ejemplo, 2020-08-20T17:00:00.9618037Z). Su valor original se hereda de la duración predeterminada de Watchlist. Si se pasa TimeToLive, el registro se considera eliminado. La duración de un registro se puede extender en cualquier momento actualizando el valor TimeToLive.
Tipo string Nombre de la tabla.
UpdatedBy dinámico Objeto JSON con el usuario que actualizó por última vez el elemento Lista de seguimiento o Lista de seguimiento, incluido: Id. de objeto, correo electrónico y nombre.
WatchlistAlias string Cadena única que hace referencia a la lista de reproducción.
Lista de reproducciónCategory string La categoría Lista de reproducción proporcionada por el usuario.
WatchlistId string Nombre del recurso lista de reproducción de Resource Manager.
WatchlistItem dinámico Objeto JSON con pares clave-valor del origen de lista de reproducción de entrada.
WatchlistItemId string Identificador único del elemento Lista de reproducción.
WatchlistName string Nombre para mostrar de la lista de reproducción.