| Действие |
строка |
Действие для соответствия индикатора. |
| Активно |
bool |
Указывает, активен ли индикатор. |
| ActivityGroupNames |
строка |
Группы действий, связанные с индикатором. |
| AdditionalInformation |
строка |
Бесплатный текст дополнительных сведений для индикатора. |
| _BilledSize |
real |
Размер записи в байтах |
| ConfidenceScore |
real |
Оценка достоверности индикатора от 0 до 100. |
| Description |
строка |
Описание индикатора. |
| DiamondModel |
строка |
Значение модели алмаза для индикатора, одного из злоумышленников, возможностей, инфраструктуры или жертвы. |
| DomainName |
строка |
Наблюдаемое доменное имя. |
| EmailEncoding |
строка |
Наблюдаемое кодирование электронной почты. |
| EmailLanguage |
строка |
Наблюдаемый язык электронной почты. |
| EmailRecipient |
строка |
Наблюдаемый получатель электронной почты. |
| EmailSenderAddress |
строка |
Наблюдаемый адрес отправителя электронной почты. |
| EmailSenderName |
строка |
Наблюдаемое имя отправителя электронной почты. |
| EmailSourceDomain |
строка |
Наблюдаемый исходный домен электронной почты. |
| EmailSourceIpAddress |
строка |
Наблюдаемый IP-адрес источника электронной почты. |
| EmailSubject |
строка |
Наблюдаемая тема электронной почты. |
| EmailXMailer |
строка |
Наблюдаемый адрес электронной почты X-Mailer. |
| ExpirationDateTime |
datetime |
Время истечения срока действия индикатора. |
| ExternalIndicatorId |
строка |
Идентификатор индикатора от отправки системы. |
| FileCompileDateTime |
datetime |
Наблюдаемое время компиляции файла. |
| FileCreatedDateTime |
datetime |
Наблюдаемое время создания файла. |
| FileHashType |
строка |
Наблюдаемый хэш-тип файла. |
| FileHashValue |
строка |
Наблюдаемое хэш-значение файла. |
| FileMutexName |
строка |
Наблюдаемое имя мьютекса файла. |
| FileName |
строка |
Наблюдаемое имя файла. |
| FilePacker |
строка |
Наблюдаемый средство упаковки файлов. |
| FilePath |
строка |
Наблюдаемый путь к файлу. |
| FileSize |
INT |
Наблюдаемый размер файла. |
| FileType |
строка |
Наблюдаемый тип файла. |
| Идентификатор индикатора |
строка |
Уникальный идентификатор индикатора, вычисляемый путем получения системы. |
| ИндикаторProvider |
строка |
Имя сущности, предоставленной индикатором. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| KillChainActions |
bool |
Указывает, задано ли значение цепочки "действия". |
| KillChainC2 |
bool |
Указывает, задано ли значение цепочки kill 'C2'. |
| KillChainDelivery |
bool |
Указывает, задано ли значение цепочки "доставка". |
| KillChainExploitation |
bool |
Указывает, задано ли значение цепочки убийства "эксплуатация". |
| KillChainReconnaissance |
bool |
Указывает, задано ли значение цепочки kill "reconniassance". |
| KillChainWeaponization |
bool |
Указывает, задано ли значение цепочки убийства "оружие". |
| KnownFalsePositives |
строка |
Текст, описывающий ситуации, когда индикатор может вызвать ложные срабатывания. |
| Вредоносные программы |
строка |
Список имен вредоносных программ, связанных с индикатором |
| NetworkCidrBlock |
строка |
Наблюдаемый блок CIDR сети. |
| NetworkDestinationAsn |
INT |
Наблюдаемый номер автономной системы назначения сети. |
| NetworkDestinationCidrBlock |
строка |
Наблюдаемый блок CIDR назначения сети. |
| NetworkDestinationIP |
строка |
IP-адрес назначения сети. |
| NetworkDestinationPort |
INT |
Наблюдаемый порт назначения сети. |
| NetworkIP |
строка |
Наблюдаемый IP-адрес сети. |
| NetworkPort |
INT |
Наблюдаемый сетевой порт. |
| NetworkProtocol |
INT |
Наблюдаемый сетевой протокол. |
| NetworkSourceAsn |
INT |
Наблюдаемый номер автономной системы источника сети. |
| NetworkSourceCidrBlock |
строка |
Наблюдаемый блок CIDR источника сети. |
| NetworkSourceIP |
строка |
Наблюдаемый IP-адрес источника сети. |
| NetworkSourcePort |
INT |
Наблюдаемый порт источника сети. |
| ПассивныйOnly |
bool |
Указывает, должен ли индикатор активировать событие, видимое пользователю. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| Теги |
строка |
Теги бесплатной формы. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatSeverity |
INT |
Оценка серьезности индикатора от 0 до 5. Более высокое значение указывает на большую серьезность. |
| ThreatType |
строка |
Тип угрозы индикатора. |
| TimeGenerated |
datetime |
Время приема индикатора. |
| TrafficLightProtocolLevel |
строка |
Стандартный уровень протокола дорожного движения, один из белых, зеленых, янтарных или красных. |
| Тип |
строка |
Имя таблицы. |
| URL |
строка |
Наблюдаемый URL-адрес. |
| UserAgent |
строка |
Наблюдаемый агент пользователя. |