共用方式為

ThreatIntelligenceIndicator

  • 發行項

威脅情報指標

數據表屬性

屬性
資源類型 -
類別 安全性
方案 SecurityInsights
基本記錄 No
擷取時間轉換 Yes
範例查詢 -

資料行

資料行 類型​ 描述
動作 字串 要對指標比對採取的動作。
使用中 bool 指出指標是否為使用中。
ActivityGroupNames 字串 與指標相關聯的活動群組。
AdditionalInformation 字串 指標的免費文字其他資訊。
_BilledSize real 以位元組為單位的記錄大小
ConfidenceScore real 指標的信賴評等,從 0 到 100。
描述 字串 指標的描述。
DiamondModel 字串 指標的菱形模型值,其中一個對手、功能、基礎結構或受害者。
DomainName 字串 可觀察的功能變數名稱。
EmailEncoding 字串 可觀察的電子郵件編碼方式。
EmailLanguage 字串 可觀察的電子郵件語言。
EmailRecipient 字串 可觀察的電子郵件收件者。
EmailSenderAddress 字串 可觀察的電子郵件位址。
EmailSenderName 字串 可觀察的電子郵件寄件者名稱。
EmailSourceDomain 字串 可觀察的電子郵件來源網域。
EmailSourceIpAddress 字串 可觀察的電子郵件來源IP位址。
EmailSubject 字串 可觀察的電子郵件主旨。
EmailXMailer 字串 可觀察的電子郵件 X-Mailer。
ExpirationDateTime Datetime 指標到期時間。
ExternalIndicatorId 字串 送出系統的指標標識碼。
FileCompileDateTime Datetime 可觀察的檔案編譯時間。
FileCreatedDateTime Datetime 可觀察的檔案建立時間。
FileHashType 字串 可觀察的檔案哈希類型。
FileHashValue 字串 可觀察的檔案哈希值。
FileMutexName 字串 可觀察的檔案 mutex 名稱。
FileName 字串 可觀察的檔名。
FilePacker 字串 檔案封裝器可觀察。
FilePath 字串 可觀察的檔案路徑。
FileSize int 可觀察的檔案大小。
FileType 字串 可觀察的文件類型。
IndicatorId 字串 由接收系統計算之指標的唯一標識碼。
IndicatorProvider 字串 提供指標之實體的名稱。
_IsBillable 字串 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費
KillChainActions bool 指出是否已設定終止鏈結值 『actions』。
KillChainC2 bool 指出是否已設定終止鏈結值 『C2』。
KillChainDelivery bool 指出是否已設定終止鏈結值 『delivery』。
KillChainExploitation bool 指出是否已設定終止鏈結值 「惡意探索」。
KillChainReconnaissance bool 指出是否已設定終止鏈結值 「重新辨識」。
KillChainWeaponization bool 指出是否已設定殺傷鏈值「武器化」。
KnownFalsePositives 字串 描述指標可能造成誤判情況的文字。
MalwareNames 字串 與指標相關聯的惡意代碼名稱清單
NetworkCidrBlock 字串 網路 CIDR 區塊可觀察。
NetworkDestinationAsn int 網路目的地自發系統編號可觀察。
NetworkDestinationCidrBlock 字串 網路目的地 CIDR 區塊可觀察。
NetworkDestinationIP 字串 網路目的地IP位址。
NetworkDestinationPort int 可觀察的網路目的地埠。
NetworkIP 字串 可觀察的網路IP位址。
NetworkPort int 可觀察的網路埠。
NetworkProtocol int 可觀察的網路通訊協定。
NetworkSourceAsn int 網路來源自發系統編號可觀察。
NetworkSourceCidrBlock 字串 網路來源 CIDR 區塊可觀察。
NetworkSourceIP 字串 可觀察的網路來源IP位址。
NetworkSourcePort int 可觀察的網路來源埠。
PassiveOnly bool 指出指標是否應該觸發用戶可看見的事件。
SourceSystem 字串 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷
標籤 字串 自由格式標籤。
TenantId 字串 Log Analytics 工作區識別碼
ThreatSeverity int 指標嚴重性評等從 0 到 5。 較高的值表示更大的嚴重性。
ThreatType 字串 指標的威脅類型。
TimeGenerated Datetime 指標擷取的時間。
TrafficLightProtocolLevel 字串 業界標準的交通燈通訊協定層級,其中一個是白色、綠色、琥珀色或紅色。
型別 string 資料表的名稱
Url 字串 可觀察的URL。
UserAgent 字串 使用者代理程式可觀察。