Поделиться через

ThreatIntelIndicator

  • Статья

Таблица аналитики угроз, содержащая индикаторы STIX.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов microsoft.securityinsights/threatintelligence
Категории Безопасность
Решения SecurityInsights
Базовый журнал Да
Преобразование ingestion-time No
Примеры запросов -

Столбцы

Column Type Описание
AdditionalFields по строкам Поля спецификации типа, добавляемые Sentinel. Содержит TLPLevel: белый, зеленый, янтарный или красный.
AzureTenantId строка Клиент, отправив индикатор.
_BilledSize real Размер записи в байтах
Достоверность INT Уверенность, что создатель имеет в правильности своих данных. Значение должно быть числом в диапазоне от 0 до 100.
Создание datetime Дата создания индикатора.
Data по строкам Все свойства объекта, отформатированные в соответствии со спецификацией STIX (https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf).
Артикул строка Значение, однозначно определяющее объект STIX индикатора. Это значение можно использовать с ПОМОЩЬЮ API Sentinel.
Активно bool Значение, указывающее, является ли индикатор активным и допустимым для обнаружения.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
IsDeleted bool Значение, указывающее, были ли удалены данные из Sentinel или нет.
LastUpdateMethod строка Компонент, который последний раз обновил индикатор.
Изменено datetime Дата изменения индикатора.
ObservableKey строка Вся левая сторона сравнения равенства из шаблона.
ObservableValue строка Вся правая сторона сравнения равенства из шаблона.
Расписание строка Шаблон обнаружения для этого индикатора МОЖЕТ быть выражен как шаблон STIX.
_ResourceId строка Уникальный идентификатор ресурса, с которым связана запись.
Отозвано bool Значение, указывающее, был ли отозван индикатор.
Исходный код строка Имя источника.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
_SubscriptionId строка Уникальный идентификатор подписки, с которой связана запись
Теги строка Sentinel определил теги для индикатора.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Время приема индикатора.
Тип строка Имя таблицы.
ValidFrom datetime Время, с которого этот индикатор считается допустимым индикатором поведения, который он связан или представляет.
ValidUntil datetime Время, в течение которого этот индикатор больше не должен считаться допустимым индикатором bahviors, с которым он связан или представляет.
WorkspaceId строка Рабочая область, которая отправила индикатор.