| AlertType |
string |
Nazwa typu alertu. Alerty tego samego typu powinny mieć taką samą nazwę. To pole jest ciągiem kluczem reprezentującym typ alertu, a nie wystąpienie alertu. Wszystkie wystąpienia alertów z tej samej logiki wykrywania/analizy powinny mieć taką samą wartość dla typu alertu. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| Nazwa składnika |
string |
Nazwa składnika wewnątrz produktu, który wygenerował alert. Jest to pole opcjonalne, które może być wypełnione tylko dla produktu, w którym zewnętrzny użytkownik końcowy zna określone składniki w produkcie. W przypadku produktów, które oferują różne typy jednostek SKU/pakietów, to pole może przechowywać nazwę jednostki SKU lub pakietu. |
| CreationDateTime |
datetime |
Data i godzina (UTC) wygenerowanego zdarzenia. |
| opis |
string |
Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. |
| DetectionTechnology |
string |
Opcjonalne pole do przechowywania technologii wykrywania zagrożeń alertu. |
| DisplayName |
string |
Nazwa wyświetlana alertu, ta wartość jest wyświetlana dla użytkowników zgodnie z rzeczywistym użyciem lub z dodatkowymi parametrami. |
| Właściwości rozszerzone |
dynamiczna |
Worek pól, które zostaną wyświetlone użytkownikowi. Dostawcy mogą wysyłać tutaj dowolne pola niestandardowe, które powinny być częścią alertu. |
| FirstActivityDateTime |
datetime |
Godzina rozpoczęcia wpływu alertu (czas pierwszego zdarzenia lub działania uwzględnionego w alercie). Pole jest serializowane ciąg zgodnie z ISO8601, w tym informacje o strefie czasowej UTC. |
| Id |
string |
Unikatowy identyfikator każdego alertu dostępu do sieci. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| IsPreview |
bool |
IsPreview będzie definiowana jako prawda, gdzie alert jest w stanie publicznej wersji zapoznawczej i nie kwalifikuje się jeszcze do ga. Domyślnie wartość to false. |
| LastActivityDateTime |
datetime |
Czas zakończenia alertu (czas ostatniego zdarzenia lub działania uwzględnionego w alercie). Pole jest serializowane ciąg zgodnie z ISO8601, w tym informacje o strefie czasowej UTC. |
| IdentZasady |
string |
Identyfikator zasad skojarzony z ruchem dostępu do sieci, który wygenerował alert. |
| ProductName |
string |
Nazwa produktu, który opublikował ten alert, tj. Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS itp. |
| RelatedResources |
dynamiczna |
Lista jednostek powiązanych z alertem. Ta lista może zawierać kombinację jednostek różnych typów. Typ jednostek może być dowolnym typem zdefiniowanym w sekcji Jednostki. Jednostki, które nie znajdują się na poniższej liście, można również wysłać, jednak nie ma gwarancji, że zostaną one przetworzone (alert nie zakończy się niepowodzeniem walidacji z nowymi typami jednostek). |
| Ważność |
string |
Ważność alertu jest zgłaszana przez dostawcę. Możliwe wartości: Informacyjna, Niska, Średnia, Wysoka. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Techniki podrzędne |
string |
Pole opcjonalne określające podtypy związane z łańcuchem zabić za alertem. Każda technika podrzędna powinna zostać dodana na tej liście przy użyciu jej identyfikatora i powinna mieć co najmniej jedną zgodną intencję w polu Intencja. |
| Techniki |
string |
Pole opcjonalne określające techniki związane z łańcuchem zabić związane z alertem. Każda technika powinna zostać dodana na tej liście przy użyciu jej identyfikatora i powinna mieć co najmniej jedną zgodną intencję w polu Intencja. Walidacja tego pola (oczekiwany format identyfikatora techniki i dopasowywania względem wartości intencji) jest zgodna z modelem macierzy MITRE att@ck przedsiębiorstwa (otwiera się w nowym oknie lub karcie) i dalsze wskazówki dotyczące różnych technik tworzących każdą intencję można znaleźć w dokumentacji MITRE. |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated |
datetime |
Data i godzina (UTC) wygenerowanego zdarzenia. |
| Typ |
string |
Nazwa tabeli |
| VendorName |
string |
Nazwa dostawcy, który zgłosił alert, ta wartość jest wyświetlana użytkownikom w następujący sposób. W przypadku większości alertów dotyczących zabezpieczeń wewnętrznych należy ustawić go jako "Microsoft". |