Azure Sentinel ウォッチリストには、アラート/インシデント条件として結合またはフィルター処理するために使用できる CSV ファイルからインポートされたデータが含まれています。
テーブル属性
| 属性 |
価値 |
|
リソースの種類 |
- |
|
カテゴリ |
セキュリティ |
|
ソリューション |
SecurityInsights |
|
基本的なログ |
いいえ |
|
取り込み時変換 |
はい |
|
サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AzureTenantId |
文字列 |
このウォッチリスト テーブルが所属するAADテナントID。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| CorrelationId |
文字列 |
相関性があるイベントの ID。 |
| CreatedBy |
ダイナミック |
Watchlist または Watchlist アイテムを作成したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
| 作成時間UTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最初に作成された時刻 (UTC)。 |
| 既定の期間 |
文字列 |
Watchlist の各項目が作成時に継承する必要がある既定の有効期間を記述する JSON オブジェクト。 既定の期間の形式は P(n)Y(n)M(n)DT(n)H(n)M(n)S で、P、Y、M、DT、H、M、S は不変です。 たとえば、P3Y6M4DT12H30M9Sは、3 年、6 か月、4 日間、12 時間、30 分、9 秒の期間を表します。 |
| _DTItemId |
文字列 |
ウォッチリストまたはウォッチリストアイテムの一意の ID。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト アイテムは一意の ID を持ち、ウォッチリストに属します。 含まれているウォッチリストは、'WatchlistId' を使用して識別できます。 |
| _DTItemStatus |
文字列 |
ウォッチリストまたはウォッチリストアイテムがユーザーによって作成、更新、または削除されました。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリストが追加された場合、状態は 'Created' になります。 ウォッチリストの名前が 'RiskyUsers' から 'RiskyEmployees' に更新された場合、状態は 'Updated' になります。 |
| _DTItemType |
文字列 |
ウォッチリストとウォッチリストアイテムを区別します。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト項目の種類はウォッチリスト型に属し、含まれているウォッチリストは 'WatchlistId' を使用して識別できます。 |
| _DTTimestamp |
datetime |
イベントが生成された時刻 (UTC)。 |
| エンティティマッピング |
ダイナミック |
Azure Sentinel エンティティが入力列にマッピングされている JSON オブジェクト。 |
| _IsBillable // 請求可能かどうかを示す |
文字列 |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| 最終更新時刻UTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最後に更新された時刻 (UTC)。 |
| メモ |
文字列 |
ユーザーが提供するメモ。 |
| プロバイダー |
文字列 |
ウォッチリストの入力プロバイダー。 |
| SearchKey |
文字列 |
SearchKey は、他のデータとの結合にウォッチリストを使用する場合にクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、このフィールドを使用して IP アドレスによって他のイベント テーブルに結合します。 |
| ソース |
文字列 |
ウォッチリストの入力ソース。 |
| SourceSystem |
文字列 |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| タグ |
文字列 |
ユーザーによって提供されるタグの JSON 配列。 |
| テナントID |
文字列 |
Log Analytics ワークスペース ID |
| タイムジェネレイテッド |
datetime |
イベントが生成された時刻のタイムスタンプ (UTC)。 |
| TimeToLive |
datetime |
ウォッチリスト レコードの有効期間。日付と時刻 (例: 2020-08-20T17:00:00.9618037Z) として表されます。 元の値はウォッチリストの既定の期間から継承されます。 TimeToLive に合格すると、レコードは削除されたと見なされます。 TimeToLive 値を更新することで、レコードの期間をいつでも延長できます。 |
| タイプ |
文字列 |
テーブルの名前 |
| UpdatedBy |
ダイナミック |
ウォッチリストまたはウォッチリスト項目を最後に更新したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
| ウォッチリストエイリアス |
文字列 |
ウォッチリストを参照する一意の文字列。 |
| ウォッチリストカテゴリ |
文字列 |
ユーザーが提供するウォッチリスト カテゴリ。 |
| ウォッチリストID |
文字列 |
リソースマネージャー・ウォッチリストのリソース名。 |
| ウォッチリスト項目 |
ダイナミック |
入力 Watchlist ソースからのキーと値のペアを持つ JSON オブジェクト。 |
| ウォッチリスト項目ID |
文字列 |
ウォッチリスト アイテムの一意の ID。 |
| ウォッチリスト名 |
文字列 |
ウォッチリストの表示名。 |