你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
ConfidentialWatchlist
Azure Sentinel 机密监视列表包含从 CSV 文件导入的数据,这些数据可用于作为警报/事件条件加入或筛选。
表特性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 否 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AzureTenantId | string | 此监视列表表所属的 AAD 租户 ID。 |
| _BilledSize | real | 记录大小(字节) |
| CorrelationId | string | 关联事件的 ID。 |
| 创建者 | 动态 | 创建监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。 |
| CreatedTimeUTC | datetime | 监视列表或监视列表项首次创建的时间 (UTC)。 |
| DefaultDuration | string | 描述监视列表的每个项在创建时应继承的默认持续时间的 JSON 对象。 默认的持续时间格式为 :P(n)Y(n)M(n)DT(n)H(n)M(n)S,其中 P、Y、M、DT、H、M 和 S 均为不变式。 例如,P3Y6M4DT12H30M9S 表示持续时间为三年六个月四天十二小时三十分钟九秒。 |
| _DTItemId | string | 监视列表或监视列表项的唯一 ID。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 监视列表项具有唯一 ID,并属于一个监视列表。 可以使用“WatchlistId”来标识包含的监视列表。 |
| _DTItemStatus | string | 监视列表或监视列表项是否由用户创建、更新或删除。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 如果添加了监视列表,则状态为“已创建”。 如果监视列表的名称从“RiskyUsers”更新为“RiskyEmployees”,则状态为“Updated”。 |
| _DTItemType | string | 区分监视列表和监视列表项。 例如,监视列表“RiskyUsers”可以包含监视列表项 'Name:John Doe; email:johndoe@contoso.com'。 监视列表项类型将属于监视列表类型,并且可以使用“WatchlistId”标识包含的监视列表。 |
| _DTTimestamp | datetime | 事件生成的时间 (UTC)。 |
| EntityMapping | 动态 | 将 Azure Sentinel 实体映射到输入列的 JSON 对象。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LastUpdatedTimeUTC | datetime | 监视列表或监视列表项最后一次更新的时间 (UTC)。 |
| 备注 | string | 用户提供的注释。 |
| 提供程序 | string | 监视列表的输入提供程序。 |
| SearchKey | string | 当使用监视列表与其他数据连接时,SearchKey 用于优化查询性能。 例如,启用包含 IP 地址的列作为指定的 SearchKey 字段,然后使用该字段按 IP 地址连接其他事件表。 |
| Source | string | 监视列表的输入源。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 标记 | string | 用户提供的标记的 JSON 数组。 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 生成事件时的时间戳 (UTC)。 |
| TimeToLive | datetime | 监视列表记录的生存时间,表示为一天的日期和时间(例如 2020-08-20T17:00:00.9618037Z)。 其原始值继承自监视列表的默认持续时间。 如果 TimeToLive 时间已过,则认为记录已被删除。 通过更新 TimeToLive 值,记录的持续时间可随时延长。 |
| 类型 | 字符串 | 表的名称 |
| UpdatedBy | 动态 | 最后更新监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。 |
| WatchlistAlias | string | 引用监视列表的唯一字符串。 |
| WatchlistCategory | string | 用户提供的监视列表类别。 |
| WatchlistId | string | 资源管理器监视列表资源名称。 |
| WatchlistItem | 动态 | 包含输入监视列表源键值对的 JSON 对象。 |
| WatchlistItemId | string | 监视列表项的唯一 ID。 |
| WatchlistName | string | 监视列表的显示名称。 |