Partager via


Liste de surveillance

Azure Sentinel Watchlist contient des données importées à partir de fichiers CSV qui peuvent être utilisées pour joindre ou filtrer en tant que condition d’alerte/incident.

Attributs de table

Attribut Valeur
Types de ressources -
Catégories Sécurité
Solutions SecurityInsights
Journal de base Non
Transformation au moment de l’ingestion Oui
Exemples de requêtes Oui

Colonnes

Colonne Type Description
AzureTenantId string ID de locataire AAD auquel appartient cette table Watchlist.
_BilledSize real Taille de l’enregistrement en octets
CorrelationId string ID des événements corrélés.
CreatedBy dynamic Objet JSON avec l’utilisateur qui a créé l’élément Watchlist ou Watchlist, notamment l’ID d’objet, l’e-mail et le nom.
CreatedTimeUTC DATETIME Heure (UTC) de création de l’élément Watchlist ou Watchlist.
DefaultDuration string Objet JSON décrivant la durée par défaut à laquelle chaque élément d’une Watchlist doit hériter lors de la création. La durée par défaut a ce format : P(n)Y(n)M(n)DT(n)H(n)M(n)S, où P, Y, M, DT, H, M et S sont invariants. Par exemple, P3Y6M4DT12H30M9S représente une durée de trois ans, six mois, quatre jours, douze heures, trente minutes et neuf secondes.
_DTItemId string ID unique de l’élément Watchlist ou Watchlist. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Un élément Watchlist a un ID unique et appartient à une Watchlist. La watchlist contenant peut être identifiée à l’aide du « WatchlistId ».
_DTItemStatus string L’élément Watchlist ou Watchlist a-t-il été créé, mis à jour ou supprimé par l’utilisateur. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Si une watchlist est ajoutée, l’état est « Créé ». Si le nom de la Watchlist est mis à jour de « RiskyUsers » à « RiskyEmployees », l’état est « Mis à jour ».
_DTItemType string Faire la distinction entre une liste de surveillance et un élément Watchlist. Par exemple, une watchlist ' RiskyUsers' peut contenir l’élément Watchlist 'Name :John Doe ; email :johndoe@contoso.com'. Un type d’élément Watchlist appartient à un type Watchlist et le Watchlist contenant peut être identifié à l’aide du « WatchlistId ».
_DTTimestamp DATETIME Heure (UTC) de la génération de l’événement.
EntityMapping dynamic Objet JSON avec mappage d’entité Azure Sentinel aux colonnes d’entrée.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
LastUpdatedTimeUTC DATETIME Heure (UTC) de la dernière mise à jour de l’élément Watchlist ou Watchlist.
Notes string Notes fournies par l’utilisateur.
Fournisseur string Fournisseur d’entrée de la Watchlist.
Clé de recherche string SearchKey est utilisé pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ pour joindre d’autres tables d’événements par adresse IP.
Source string Source d’entrée de la Watchlist.
SourceSystem string Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
Balises string Tableau JSON de balises fournies par l’utilisateur.
TenantId string ID de l’espace de travail Log Analytics
TimeGenerated DATETIME Horodatage (UTC) de l’heure de génération de l’événement.
TimeToLive DATETIME Durée de vie d’un enregistrement Watchlist, exprimée sous forme de date et d’heure du jour (par exemple, 2020-08-20T17:00:00.9618037Z). Sa valeur d’origine est héritée de la durée par défaut de Watchlist. Si TimeToLive passe, l’enregistrement est considéré comme supprimé. La durée d’un enregistrement peut être prolongée à tout moment en mettant à jour la valeur TimeToLive.
Type string Le nom de la table
UpdatedBy dynamic Objet JSON avec l’utilisateur qui a mis à jour l’élément Watchlist ou Watchlist, notamment l’ID d’objet, l’e-mail et le nom.
WatchlistAlias string Chaîne unique faisant référence à la Watchlist.
WatchlistCategory string Catégorie Watchlist fournie par l’utilisateur.
WatchlistId string Nom de la ressource Watchlist Resource Manager.
WatchlistItem dynamic Objet JSON avec paires clé-valeur de la source Watchlist d’entrée.
WatchlistItemId string ID unique de l’élément Watchlist.
WatchlistName string Nom complet de Watchlist.