關注清單
Azure Sentinel 監看清單包含 CSV 檔案的匯入數據,可用來聯結或篩選為警示/事件條件。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| AzureTenantId |
字串 |
此 Watchlist 數據表所屬的 AAD 租使用者識別碼。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| CorrelationId |
字串 |
相互關聯事件的識別碼。 |
| 建立者 |
dynamic |
JSON 物件,其中包含建立 Watchlist 或 Watchlist 項目的使用者,包括:對象識別碼、電子郵件和名稱。 |
| CreatedTimeUTC |
Datetime |
第一次建立監看清單或監看清單項目的時間(UTC)。 |
| DefaultDuration |
字串 |
JSON 物件,描述監看清單每個專案在建立時應繼承的默認持續時間。 默認持續時間有下列格式:P(n)Y(n)DT(n)H(n)M(n)M(n)S,其中 P、Y、M、DT、H、M 和 S 不可變。 例如,P3Y6M4DT12H30M9S代表三年、六個月、四天、十二小時、三十分和九秒的持續時間。 |
| _DTItemId |
字串 |
Watchlist 或 Watchlist 專案唯一標識符。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 關注清單專案具有唯一標識符,且屬於監看清單。 包含的 Watchlist 可以使用 『WatchlistId' 來識別。 |
| _DTItemStatus |
字串 |
使用者已建立、更新或刪除監看清單或監看清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 如果已新增監看清單,狀態會是「已建立」。 如果關注清單的名稱從 'RiskyUsers' 更新為 'RiskyEmployees',狀態會是 「已更新」。 |
| _DTItemType |
字串 |
區分監看清單和監看式清單專案。 例如,關注清單 'RiskyUsers' 可以包含關注列表專案 'Name:John Doe;email:johndoe@contoso.com'。 Watchlist 專案類型將屬於 Watchlist 類型,且包含的 Watchlist 可以使用 'WatchlistId' 來識別。 |
| _DTTimestamp |
Datetime |
產生事件的時間 (UTC)。 |
| EntityMapping |
dynamic |
JSON 物件與 Azure Sentinel 實體對應至輸入數據行。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LastUpdatedTimeUTC |
Datetime |
上次更新監看清單或監看清單項目的時間(UTC)。 |
| 備註 |
字串 |
使用者提供的附注。 |
| 提供者 |
字串 |
Watchlist 的輸入提供者。 |
| SearchKey |
字串 |
使用監看清單與其他數據聯結時,SearchKey 可用來優化查詢效能。 例如,啟用具有IP位址的數據行成為指定的SearchKey欄位,然後使用此欄位依IP位址加入其他事件數據表。 |
| 來源 |
字串 |
Watchlist 的輸入來源。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| 標籤 |
字串 |
使用者提供的標記 JSON 陣列。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
產生事件時的時間戳 (UTC)。 |
| TimeToLive |
Datetime |
監看清單記錄的存留時間,以日期與時間表示(例如 2020-08-20T17:00:00.9618037Z)。 其原始值繼承自 Watchlist 的預設持續時間。 如果 TimeToLive 通過,則會將記錄視為已刪除。 您可以藉由更新 TimeToLive 值,隨時擴充記錄的持續時間。 |
| 型別 |
string |
資料表的名稱 |
| UpdatedBy |
dynamic |
具有上次更新 Watchlist 或 Watchlist 專案之使用者的 JSON 物件,包括:對象識別碼、電子郵件和名稱。 |
| WatchlistAlias |
字串 |
參考 Watchlist 的唯一字串。 |
| WatchlistCategory |
字串 |
使用者提供的關注清單類別。 |
| WatchlistId |
字串 |
Resource Manager 關注清單資源名稱。 |
| WatchlistItem |
dynamic |
來自輸入關注清單來源之索引鍵/值組的 JSON 物件。 |
| WatchlistItemId |
字串 |
關注清單專案的唯一標識符。 |
| WatchlistName |
字串 |
Watchlist 的顯示名稱。 |