你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

AlertEvidence

包括与警报关联的文件、IP 地址、URL、用户或设备。

表属性

Attribute	值
资源类型	-
类别	安全性
解决方案	SecurityInsights
基本日志	否
引入时转换	是
示例查询	是

列

列	类型​​	描述
AccountDomain	string	帐户的域。
AccountName	string	帐户的用户名。
AccountObjectId	string	Azure Active Directory 中帐户的唯一标识符。
AccountSid	string	帐户的安全标识符 (SID)。
AccountUpn	string	帐户的用户主体名称 (UPN)。
AdditionalFields	动态	有关 JSON 数组格式的事件的其他信息。
AlertId	string	警报的唯一标识符。
应用程序	string	执行所记录操作的应用程序。
ApplicationId	int	应用程序的唯一标识符。
AttackTechniques	string	与触发警报的活动关联的 MITRE ATT&CK 技术。
_BilledSize	real	记录大小（字节）
类别	string	信息所属的类别列表，采用 JSON 数组格式。
DetectionSource	string	标识值得注意的组件或活动的检测技术或传感器。
DeviceId	string	设备在服务中的唯一标识符。
设备名称	string	计算机的完全限定域名 (FQDN)。
电子邮件主题	string	电子邮件的主题。
EntityType	string	对象类型，例如文件、进程、设备或用户。
EvidenceDirection	string	指示实体是网络连接的源还是目标。
EvidenceRole	string	实体如何参与警报，表明它是受到影响还是仅仅相关。
FileName	string	应用了所记录操作的文件的名称。
FileSize	long	文件的大小（字节）。
FolderPath	string	包含应用了所记录操作的文件的文件夹。
_IsBillable	string	指定引入数据是否计费。 当 _IsBillable 为 false 时，不会向 Azure 帐户计收引入费
LocalIP	string	分配给通信期间使用的本地设备的 IP 地址。
NetworkMessageId	string	Office 365 生成的电子邮件的唯一标识符。
OAuthApplicationId	string	第三方 OAuth 应用程序的唯一标识符。
ProcessCommandLine	string	用于创建新进程的命令行。
RegistryKey	string	应用了所记录操作的注册表项。
RegistryValueData	string	应用了所记录操作的注册表值的数据。
RegistryValueName	string	应用了所记录操作的注册表值的名称。
RemoteIP	string	所连接到的 IP 地址。
RemoteUrl	string	所连接到的 URL 或完全限定的域名 (FQDN)。
ServiceSource	string	提供警报信息的产品或服务。
SHA1	string	应用了所记录操作的文件的 SHA-1。
SHA256	string	应用了所记录操作的文件的 SHA-256。 通常不会填充此字段 - 在可用时使用 SHA1 列。
SourceSystem	string	收集事件的代理的类型。 例如，适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId	string	Log Analytics 工作区 ID
ThreatFamily	string	可疑或恶意文件或进程所属的恶意软件系列。
TimeGenerated	datetime	生成记录时的日期和时间 (UTC)。
标题	string	警报的标题。
类型	字符串	表的名称