Watchlist
- [アーティクル]
-
-
Azure Sentinel ウォッチリストには、アラート/インシデント条件として結合またはフィルター処理するために使用できる CSV ファイルからインポートされたデータが含まれています。
テーブル属性
属性 |
Value |
リソースの種類 |
- |
Categories (カテゴリ) |
セキュリティ |
ソリューション |
SecurityInsights |
基本的なログ |
いいえ |
インジェスト時間変換 |
はい |
サンプル クエリ |
はい |
列
列 |
タイプ |
説明 |
AzureTenantId |
string |
このウォッチリスト テーブルが属する AAD テナント ID。 |
_BilledSize |
real |
レコード サイズ (バイト単位) |
CorrelationId |
string |
相関性があるイベントの ID。 |
CreatedBy |
動的 |
Watchlist または Watchlist アイテムを作成したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
CreatedTimeUTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最初に作成された時刻 (UTC)。 |
DefaultDuration |
string |
Watchlist の各項目が作成時に継承する必要がある既定の有効期間を記述する JSON オブジェクト。 既定の期間の形式は P(n)Y(n)M(n)DT(n)H(n)M(n)S で、P、Y、M、DT、H、M、S は不変です。 たとえば、P3Y6M4DT12H30M9Sは、3 年、6 か月、4 日間、12 時間、30 分、9 秒の期間を表します。 |
_DTItemId |
string |
ウォッチリストまたはウォッチリストアイテムの一意の ID。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト アイテムは一意の ID を持ち、ウォッチリストに属します。 含まれているウォッチリストは、'WatchlistId' を使用して識別できます。 |
_DTItemStatus |
string |
ウォッチリストまたはウォッチリストアイテムがユーザーによって作成、更新、または削除されました。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリストが追加された場合、状態は 'Created' になります。 ウォッチリストの名前が 'RiskyUsers' から 'RiskyEmployees' に更新された場合、状態は 'Updated' になります。 |
_DTItemType |
string |
ウォッチリストとウォッチリストアイテムを区別します。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト項目の種類はウォッチリスト型に属し、含まれているウォッチリストは 'WatchlistId' を使用して識別できます。 |
_DTTimestamp |
datetime |
イベントが生成された時刻 (UTC)。 |
EntityMapping |
動的 |
Azure Sentinel エンティティが入力列にマッピングされている JSON オブジェクト。 |
_IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合 |
LastUpdatedTimeUTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最後に更新された時刻 (UTC)。 |
メモ |
string |
ユーザーが提供するメモ。 |
プロバイダー |
string |
ウォッチリストの入力プロバイダー。 |
SearchKey |
string |
SearchKey は、他のデータとの結合にウォッチリストを使用する場合にクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、このフィールドを使用して IP アドレスによって他のイベント テーブルに結合します。 |
ソース |
string |
ウォッチリストの入力ソース。 |
SourceSystem |
string |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。 |
タグ |
string |
ユーザーによって提供されるタグの JSON 配列。 |
TenantId |
string |
Log Analytics ワークスペース ID |
TimeGenerated |
datetime |
イベントが生成された時刻のタイムスタンプ (UTC)。 |
TimeToLive |
datetime |
ウォッチリスト レコードの有効期間。日付と時刻 (例: 2020-08-20T17:00:00.9618037Z) として表されます。 元の値はウォッチリストの既定の期間から継承されます。 TimeToLive に合格すると、レコードは削除されたと見なされます。 TimeToLive 値を更新することで、レコードの期間をいつでも延長できます。 |
種類 |
string |
テーブルの名前 |
UpdatedBy |
動的 |
ウォッチリストまたはウォッチリスト項目を最後に更新したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
WatchlistAlias |
string |
ウォッチリストを参照する一意の文字列。 |
WatchlistCategory |
string |
ユーザーが提供するウォッチリスト カテゴリ。 |
WatchlistId |
string |
Resource Manager Watchlist リソース名。 |
WatchlistItem |
動的 |
入力 Watchlist ソースからのキーと値のペアを持つ JSON オブジェクト。 |
WatchlistItemId |
string |
ウォッチリスト アイテムの一意の ID。 |
WatchlistName |
string |
ウォッチリストの表示名。 |