NetworkAccessAlerts
- [アーティクル]
-
-
この表は、ネットワーク アクセス アラートを含む ID とネットワーク アクセスの一部です。 これらのアラートは、ネットワーク アクセスの状態を把握するために利用できます。
テーブル属性
| 属性 |
Value |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ、ネットワーク、IT & 管理ツール |
| ソリューション |
LogManagement |
| 基本的なログ |
いいえ |
| インジェスト時間変換 |
いいえ |
| サンプル クエリ |
- |
列
| 列 |
タイプ |
説明 |
| AlertType |
string |
通知の種類名。 同じ種類の通知は、同じ名前にする必要があります。 このフィールドは、アラート インスタンスではなく、アラートの種類を表すキー付き文字列です。 同じ検出ロジック/分析からのすべてのアラート インスタンスは、アラートの種類の値が同じである必要があります。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| ComponentName |
string |
アラートを生成した製品内のコンポーネントの名前。 これはオプションのフィールドで、外部エンド ユーザーが製品内の特定のコンポーネントを認識している製品に対してのみ設定できます。 さまざまな種類の SKU/バンドルを提供する製品の場合、このフィールドには SKU またはバンドル名を保持できます。 |
| CreationDateTime |
datetime |
イベントが生成された日時 (UTC)。 |
| 説明 |
string |
接続またはセッションで送信元から送信先に送信されたバイト数。 |
| DetectionTechnology |
string |
アラート脅威検出テクノロジを保持する省略可能なフィールド。 |
| 表示名 |
string |
通知の表示名。この値は、ユーザーにそのままの状態で、または追加のパラメーターとともに表示されます。 |
| ExtendedProperties |
動的 |
ユーザーに表示されるフィールドのバッグ。 プロバイダーは、アラートの一部である必要がある任意のユーザー設定フィールドをここに送信できます。 |
| FirstActivityDateTime |
datetime |
アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻)。 このフィールドは、UTC タイムゾーン情報を含め、ISO8601に従って文字列をシリアル化します。 |
| Id |
string |
各ネットワーク アクセス アラートの一意識別子。 |
| _IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| IsPreview |
[bool] |
IsPreview は、アラートがパブリック プレビュー状態にあり、まだ GA の対象にならない場合に true として定義されます。 既定では、値は false です。 |
| LastActivityDateTime |
datetime |
アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻)。 このフィールドは、UTC タイムゾーン情報を含め、ISO8601に従って文字列をシリアル化します。 |
| PolicyId |
string |
アラートを生成したネットワーク アクセス トラフィックに関連付けられているポリシー ID。 |
| ProductName |
string |
このアラートを発行した製品の名前 (Azure Security Center、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS など)。 |
| RelatedResources |
動的 |
アラートが関連エンティティのリスト。 このリストは、さまざまな種類のエンティティを組み合わせて保持できます。 エンティティの種類には、Entities セクションで定義されているどの種類でも指定できます。 以下の一覧にないエンティティも送信できますが、処理される保証はありません (アラートは新しい種類のエンティティで検証に失敗しません)。 |
| 重要度 |
string |
プロバイダーによって報告される通知の重要度。 使用可能な値: Informational、Low、Medium、High。 |
| SourceSystem |
string |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SubTechniques |
string |
アラートの背後にあるキル チェーン関連のサブ手法を指定する省略可能なフィールド。 各サブ手法は、その ID を使用してこの一覧に追加する必要があり、意図フィールドに少なくとも 1 つの一致する意図が必要です。 |
| Techniques |
string |
アラートの背後にあるキル チェーン関連の手法を指定する省略可能なフィールド。 各手法は、その ID を使用してこの一覧に追加する必要があり、意図フィールドに少なくとも 1 つの一致する意図が必要です。 このフィールドの検証 (予想される手法 ID の形式と意図値に対する照合) は、MITRE att@ckエンタープライズ マトリックス モデル (新しいウィンドウまたはタブで開きます) に従います。各意図を構成するさまざまな手法に関する詳細なガイダンスについては、MITRE のドキュメントを参照してください。 |
| TenantId |
string |
Log Analytics ワークスペース ID |
| TimeGenerated |
datetime |
イベントが生成された日時 (UTC)。 |
| 種類 |
string |
テーブルの名前 |
| VendorName |
string |
アラートを発生させたベンダーの名前。この値は、ユーザーにそのまま表示されます。 ほとんどの内部セキュリティ製品のアラートでは、"Microsoft" として設定する必要があります。 |