| AlertType |
tekenreeks |
De typenaam van de waarschuwing. Waarschuwingen van hetzelfde type moeten dezelfde naam hebben. Dit veld is een sleuteltekenreeks die het type waarschuwing vertegenwoordigt en niet van een waarschuwingsexemplaren. Alle waarschuwingsexemplaren van dezelfde detectielogica/analyse moeten dezelfde waarde hebben voor het waarschuwingstype. |
| _BilledSize |
werkelijk |
De recordgrootte in bytes |
| ComponentName |
tekenreeks |
De naam van een onderdeel in het product dat de waarschuwing heeft gegenereerd. Dit is een optioneel veld, dat alleen kan worden ingevuld voor het product waarin externe eindgebruiker op de hoogte is van specifieke onderdelen binnen een product. Voor producten die verschillende soorten SKU/bundels bieden, kan dit veld de SKU of bundelnaam bevatten. |
| CreationDateTime |
datetime |
De datum en tijd (UTC) waarop de gebeurtenis is gegenereerd. |
| Beschrijving |
tekenreeks |
Het aantal bytes dat van de bron naar het doel is verzonden voor de verbinding of sessie. |
| Detectietechnologie |
tekenreeks |
Optioneel veld voor het opslaan van de technologie voor detectie van waarschuwingsrisico's. |
| DisplayName |
tekenreeks |
De weergavenaam van de waarschuwing, deze waarde wordt weergegeven aan gebruikers als zodanig of met aanvullende parameters. |
| ExtendedProperties |
dynamisch |
Een zak met velden die aan de gebruiker worden gepresenteerd. Providers kunnen hier aangepaste velden verzenden die deel moeten uitmaken van de waarschuwing. |
| FirstActivityDateTime |
datetime |
De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing). Het veld wordt een tekenreeks geserialiseerd op basis van ISO8601, inclusief UTC-tijdzonegegevens. |
| ID |
tekenreeks |
Een unieke id voor elke waarschuwing voor netwerktoegang. |
| _IsBillable |
tekenreeks |
Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account |
| IsPreview |
bool |
IsPreview wordt gedefinieerd als waar wanneer de waarschuwing de openbare preview-status heeft en nog niet in aanmerking komt voor algemene beschikbaarheid. Standaard is de waarde onwaar. |
| LastActivityDateTime |
datetime |
De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen). Het veld wordt een tekenreeks geserialiseerd op basis van ISO8601, inclusief UTC-tijdzonegegevens. |
| PolicyId |
tekenreeks |
De beleids-id die is gekoppeld aan het netwerktoegangsverkeer dat de waarschuwing heeft gegenereerd. |
| ProductName |
tekenreeks |
De naam van het product dat deze waarschuwing heeft gepubliceerd, bijvoorbeeld Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS, enzovoort. |
| RelatedResources |
dynamisch |
Een lijst met entiteiten die zijn gerelateerd aan de waarschuwing. Deze lijst kan een combinatie van entiteiten van verschillende typen bevatten. Het entiteitstype kan elk van de typen zijn die zijn gedefinieerd in de sectie Entiteiten. Entiteiten die niet in de onderstaande lijst staan, kunnen ook worden verzonden, maar het is niet gegarandeerd dat ze worden verwerkt (de waarschuwing mislukt de validatie niet met nieuwe typen entiteiten). |
| Ernst |
tekenreeks |
De ernst van de waarschuwing zoals deze door de provider wordt gerapporteerd. Mogelijke waarden: informatief, laag, gemiddeld, hoog. |
| SourceSystem |
tekenreeks |
Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| SubTechniques |
tekenreeks |
Optioneel veld waarmee de gerelateerde subtechnieken voor de kill chain achter de waarschuwing worden opgegeven. Elke subtechniek moet worden toegevoegd in deze lijst met behulp van de id en moet ten minste één overeenkomende intentie hebben in het veld Intent. |
| Technieken |
tekenreeks |
Optioneel veld waarmee de kill chain-gerelateerde technieken achter de waarschuwing worden opgegeven. Elke techniek moet worden toegevoegd in deze lijst met behulp van de id en moet ten minste één overeenkomende intentie hebben in het veld Intent. De validatie van dit veld (de verwachte indeling van de techniek-id en de overeenkomst met de intentiewaarden) volgt MITRE att@ck enterprise matrixmodel (wordt geopend in een nieuw venster of tabblad) en verdere richtlijnen voor de verschillende technieken waaruit elke intentie bestaat, vindt u in de documentatie van MITRE. |
| TenantId |
tekenreeks |
De Log Analytics-werkruimte-id |
| TimeGenerated |
datetime |
De datum en tijd (UTC) waarop de gebeurtenis is gegenereerd. |
| Type |
tekenreeks |
De naam van de tabel |
| Leveranciersnaam |
tekenreeks |
De naam van de leverancier die de waarschuwing heeft gegenereerd, wordt deze waarde weergegeven aan gebruikers. Voor de meeste waarschuwingen voor interne beveiligingsproducten moet deze worden ingesteld als 'Microsoft'. |