你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
异常
此表包含 Azure Sentinel 中活动异常分析规则生成的异常。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| ActivityInsights | 动态 | 有关与以 JSON 格式生成的异常对应的活动的见解。 |
| AnomalyDetails | 动态 | JSON 对象,包含有关生成异常的规则和算法的一般信息以及异常的解释。 |
| AnomalyReasons | 动态 | 以 JSON 形式详细说明生成的异常。 |
| AnomalyTemplateId | string | 生成此异常的异常模板的 ID。 |
| AnomalyTemplateName | string | 生成此异常的异常模板的名称。 |
| AnomalyTemplateVersion | string | 生成此异常的异常模板的版本。 |
| _BilledSize | real | 记录大小(字节) |
| 说明 | string | 异常的说明。 |
| DestinationDevice | string | 为其生成异常的目标设备。 |
| DestinationIpAddress | string | 为其生成异常的目标 IP 地址。 |
| DestinationLocation | 动态 | 以 JSON 格式生成异常的目标位置信息。 |
| DeviceInsights | 动态 | 有关与以 JSON 格式生成的异常对应的设备的见解。 |
| EndTime | datetime | 异常结束的时间 (UTC)。 |
| 实体 | 动态 | JSON 对象,包含生成的异常中涉及的所有实体。 |
| ExtendedLinks | 动态 | 指向生成异常的数据的链接列表。 |
| ExtendedProperties | 动态 | JSON 对象,其中异常的附加数据作为键值对。 |
| Id | string | 生成的异常的 ID。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| RuleConfigVersion | string | 生成此异常的异常分析规则的配置版本。 |
| RuleId | string | 生成此异常的异常分析规则的 ID。 |
| RuleName | string | 生成此异常的异常分析规则的名称。 |
| RuleStatus | string | 生成此异常的异常分析规则的状态(外部测试/生产)。 |
| 分数 | real | 异常的分数。 |
| SourceDevice | string | 为其生成异常的源设备。 |
| SourceIpAddress | string | 为其生成异常的源 IP 地址。 |
| SourceLocation | 动态 | 以 JSON 格式生成异常的源位置信息。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| StartTime | datetime | 异常开始时的时间 (UTC)。 |
| 策略 | string | 与异常对应的 MITRE ATT&CK 策略(字符串)列表。 |
| 方法 | string | 列出与异常对应的 MITRE ATT&CK 技术(字符串)。 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 生成异常时的时间戳 (UTC)。 |
| 类型 | 字符串 | 表的名称 |
| UserInsights | 动态 | 有关与以 JSON 格式生成的异常对应的用户的见解。 |
| UserName | string | 为其生成异常的用户名。 |
| UserPrincipalName | string | 为其生成异常的用户的 UPN。 |
| VendorName | string | 生成此异常的供应商的名称。 |
| WorkspaceId | string | Sentinel 工作区的 ID。 |