| AlertType |
string |
Nom de type de l’alerte. Les alertes du même type doivent avoir le même nom. Ce champ est une chaîne indexée représentant le type d’alerte, et non une instance d’alerte. Toutes les instances d’alerte de la même logique de détection ou analytique doivent avoir la même valeur pour le type d’alerte. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| ComponentName |
string |
Nom d’un composant à l’intérieur du produit qui a généré l’alerte. Il s’agit d’un champ facultatif, qui peut être rempli uniquement pour le produit dans lequel l’utilisateur final externe connaît des composants spécifiques au sein d’un produit. Pour les produits qui offrent différents types de références SKU/Bundles, ce champ peut contenir le nom de la référence SKU ou de l’offre groupée. |
| CreationDateTime |
DATETIME |
Date et heure (UTC) générées par l’événement. |
| Description |
string |
Nombre d’octets envoyés de la source à la destination pour la connexion ou la session. |
| DetectionTechnology |
string |
Champ facultatif pour contenir la technologie de détection des menaces d’alerte. |
| DisplayName |
string |
Nom complet de l’alerte, cette valeur est affichée aux utilisateurs en l’état ou avec des paramètres supplémentaires. |
| ExtendedProperties |
dynamic |
Un sac de champs qui sera présenté à l’utilisateur. Les fournisseurs peuvent envoyer ici tous les champs personnalisés qui doivent faire partie de l’alerte. |
| FirstActivityDateTime |
DATETIME |
Heure de début de l’alerte d’impact (heure du premier événement ou activité inclus dans l’alerte). Le champ est sérialisé une chaîne en fonction de ISO8601, y compris les informations de fuseau horaire UTC. |
| Id |
string |
Identificateur unique pour chaque alerte d’accès réseau. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsPreview |
bool |
IsPreview sera défini comme vrai où l’alerte est dans l’état de la préversion publique et n’est pas encore éligible pour la disponibilité générale. Par défaut, la valeur est false. |
| LastActivityDateTime |
DATETIME |
Heure de fin de l’impact de l’alerte (heure du dernier événement ou activité inclus dans l’alerte). Le champ est sérialisé une chaîne en fonction de ISO8601, y compris les informations de fuseau horaire UTC. |
| PolicyId |
string |
ID de stratégie associé au trafic d’accès réseau qui a généré l’alerte. |
| ProductName |
string |
Nom du produit qui a publié cette alerte, c’est-à-dire Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS, etc. |
| RelatedResources |
dynamic |
Liste des entités liées à l’alerte. Cette liste peut contenir un mélange d’entités de types divers. Le type des entités peut être l’un des types définis dans la section Entities. Les entités qui ne figurent pas dans la liste ci-dessous peuvent également être envoyées, mais il n’est pas garanti qu’elles seront traitées (l’alerte n’échouera pas la validation avec de nouveaux types d’entités). |
| Niveau de gravité |
string |
Gravité de l’alerte telle qu’elle est signalée par le fournisseur. Valeurs possibles : Informational, Low, Medium, High. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SubTechniques |
string |
Champ facultatif qui spécifie les sous-techniques associées à la chaîne de destruction derrière l’alerte. Chaque sous-technique doit être ajoutée dans cette liste à l’aide de son ID et elle doit avoir au moins une intention correspondante dans le champ Intention. |
| Techniques |
string |
Champ facultatif qui spécifie les techniques associées à la chaîne de destruction derrière l’alerte. Chaque technique doit être ajoutée dans cette liste à l’aide de son ID et elle doit avoir au moins une intention correspondante dans le champ Intention. La validation de ce champ (le format attendu de l’ID technique et la correspondance avec les valeurs Intention) suivent mitRE att@ck modèle de matrice d’entreprise (Ouvre dans une nouvelle fenêtre ou onglet) et des conseils supplémentaires sur les différentes techniques qui composent chaque intention sont disponibles dans la documentation de MITRE. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure (UTC) générées par l’événement. |
| Type |
string |
Le nom de la table |
| VendorName |
string |
Nom du fournisseur qui a déclenché l’alerte, cette valeur est affichée aux utilisateurs comme c’est le cas. Pour la plupart des alertes de produits de sécurité internes, elle doit être définie sur « Microsoft ». |