| AdditionalFields |
dynamic |
Sentinel 新增的類型指定欄位。 包含 TLPLevel:白色、綠色、琥珀色或紅色。 |
| AzureTenantId |
字串 |
提交指標的租使用者。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 信賴度 |
int |
建立者對其數據正確性的信心。 此值必須是介於 0-100 範圍內的數位。 |
| 已建立 |
Datetime |
建立指標的日期。 |
| 資料 |
dynamic |
根據 STIX 規格格式化的所有物件屬性(https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf)。 |
| Id |
字串 |
值,可唯一識別指標 STIX 物件。 這個值可與 Sentinel API 搭配使用。 |
| IsActive |
bool |
值,指定指標是否為作用中且對偵測有效。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| IsDeleted |
bool |
值,指出數據是否從 Sentinel 中刪除。 |
| LastUpdateMethod |
字串 |
上次更新指標的元件。 |
| 修改日期 |
Datetime |
修改指標的日期。 |
| ObservableKey |
字串 |
模式中相等比較的整個左側。 |
| ObservableValue |
字串 |
模式中相等比較的整個右側。 |
| 模式 |
字串 |
此指標的偵測模式可能會表示為 STIX 模式。 |
| _ResourceId |
string |
記錄相關資源的唯一識別碼 |
| 已撤銷 |
bool |
值,指定是否已撤銷指標。 |
| 來源 |
字串 |
來源的名稱。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| _SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
| 標籤 |
字串 |
Sentinel 定義指標的標記。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
指標擷取的時間。 |
| 型別 |
string |
資料表的名稱 |
| ValidFrom |
Datetime |
此指標視為其相關或表示之行為的有效指標的時間。 |
| ValidUntil |
Datetime |
此指標不應再視為它與 或代表之bahviors的有效指標的時間。 |
| WorkspaceId |
字串 |
提交指標的工作區。 |