| AlertType |
string |
Nome del tipo dell'avviso. Gli avvisi dello stesso tipo devono avere lo stesso nome. Questo campo è una stringa con chiave che rappresenta il tipo di avviso e non di un'istanza di avviso. Tutte le istanze di avviso dalla stessa logica di rilevamento/analisi devono avere lo stesso valore per il tipo di avviso. |
| _BilledSize |
real |
Dimensioni del record in byte |
| ComponentName |
string |
Nome di un componente all'interno del prodotto che ha generato l'avviso. Si tratta di un campo facoltativo, che potrebbe essere popolato solo per il prodotto in cui l'utente finale esterno è a conoscenza di componenti specifici all'interno di un prodotto. Per i prodotti che offrono diversi tipi di SKU/bundle, questo campo può contenere lo SKU o il nome del bundle. |
| CreationDateTime |
datetime |
Data e ora (UTC) generata dall'evento. |
| Descrizione |
stringa |
Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. |
| DetectionTechnology |
string |
Campo facoltativo per contenere la tecnologia di rilevamento delle minacce per gli avvisi. |
| DisplayName |
string |
Il nome visualizzato dell'avviso, questo valore viene visualizzato agli utenti così come sono o con parametri aggiuntivi. |
| ExtendedProperties |
dynamic |
Contenitore di campi che verranno presentati all'utente. I provider possono inviare qui tutti i campi personalizzati che devono far parte dell'avviso. |
| FirstActivityDateTime |
datetime |
Ora di inizio dell'avviso (ora del primo evento o dell'attività inclusa nell'avviso). Il campo viene serializzato in base a ISO8601, incluse le informazioni sul fuso orario UTC. |
| ID. |
string |
Identificatore univoco per ogni avviso di accesso alla rete. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| IsPreview |
bool |
IsPreview verrà definito come true in cui l'avviso si trova nello stato di anteprima pubblica e non è ancora idoneo per la disponibilità generale. Per impostazione predefinita, il valore è false. |
| LastActivityDateTime |
datetime |
Ora di fine dell'avviso (ora dell'ultimo evento o dell'attività inclusa nell'avviso). Il campo viene serializzato in base a ISO8601, incluse le informazioni sul fuso orario UTC. |
| PolicyId |
string |
ID criterio associato al traffico di accesso alla rete che ha generato l'avviso. |
| ProductName |
string |
Nome del prodotto che ha pubblicato questo avviso, ad esempio Centro sicurezza di Azure, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS e così via. |
| RelatedResources |
dynamic |
Elenco di entità correlate all'avviso. Questo elenco può contenere una combinazione di entità di tipi diversi. Il tipo di entità può essere uno qualsiasi dei tipi definiti nella sezione Entità. Le entità non incluse nell'elenco seguente possono anche essere inviate, ma non è garantito che vengano elaborate (l'avviso non avrà esito negativo con nuovi tipi di entità). |
| Gravità |
string |
Gravità dell'avviso in quanto segnalata dal provider. Valori possibili: informativo, basso, medio, alto. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SubTechniques |
string |
Campo facoltativo che specifica le tecniche secondarie correlate alla kill chain dietro l'avviso. Ogni sotto tecnica deve essere aggiunta in questo elenco usando il relativo ID e deve avere almeno una finalità corrispondente nel campo Finalità. |
| Tecniche |
string |
Campo facoltativo che specifica le tecniche correlate alla kill chain dietro l'avviso. Ogni tecnica deve essere aggiunta in questo elenco usando il relativo ID e deve avere almeno una finalità corrispondente nel campo Finalità. La convalida di questo campo (il formato previsto dell'ID tecnica e la corrispondenza con i valori finalità) seguire MITRE att@ck modello di matrice aziendale (Apre in una nuova finestra o scheda) e altre indicazioni sulle diverse tecniche che costituiscono ogni finalità sono disponibili nella documentazione di MITRE. |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| TimeGenerated |
datetime |
Data e ora (UTC) generata dall'evento. |
| Type |
string |
Nome della tabella |
| VendorName |
string |
Il nome del fornitore che ha generato l'avviso, questo valore viene visualizzato agli utenti così come è. Per la maggior parte degli avvisi dei prodotti di sicurezza interni, deve essere impostato su "Microsoft". |